-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

Big Brother is watching you! Man ist geneigt „Ach nee“ zu sagen, was fast jeder angeblich ja schon immer wusste, ist jetzt endlich belegt WhatsApp ist nicht ganz dicht.

Wie? Was?

-Produktempfehlung: Kaspersky lab-

Nachdem eine ehemals recht verlässliche Computerfachzeitschrift mit C, die namentlich einem Computerbaustein gleicht, vermehrt durch Artikel auf Clickbaiting-, oder heftig Niveau glänzt, sind es beispielsweise derStandard und Netzpolitik, die uns die wichtigen Nachrichten aus der Welt der Technik überbringen.

So auch in diesem Fall – WhatsApp ist nicht ganz dicht, klingt eigentlich recht putzig, hat aber einen weitaus ernsteren Hintergrund.

Diese „Dichtigkeit“ bezieht sich auf die von Facebook respektive WhatsApp vollmundig angekündigte Ende – zu – Ende – Verschlüsselung, die ja eigentlich sicherstellen soll, dass nur der Sender und der Empfänger die versandten Botschaften lesen können. Facebook, als WhatsApp Besitzer, hat selber verkündet keinerlei Möglichkeiten zu haben die Chats einzusehen.

Und jetzt DAS!

Tobias Boelter seines Zeichens Sicherheitsforscher an der University of California hat jetzt, nach einem Bericht des Guardian, doch eine kritische Sicherheitslücke gefunden. Scheinbar wurde bei der Einrichtung der Verschlüsselung nicht sauber gearbeitet, was dazu führt, dass eine Hintertür offengeblieben ist, über die es dann doch wieder möglich ist, mitzulesen. Ein Schelm der Arges vermutet.

Wie konnte es nur dazu kommen?

War da die berittene Inkompetenz am Werk oder doch Profis mit unlauteren Absichten?

Wer es am Ende auch gewesen ist, Tatsache ist, WhatsApp benutzt für die Verschlüsselung das Signal – Protokoll von Open Whisper Systems.

Darüber werden der Austausch und die Verifizierung der Schlüssel zwischen den Beteiligten erledigt. Allerdings kann diese App ohne Wissen der Beteiligten die Erstellung neuer Schlüssel erzwingen, wenn der Nutzer nicht mit dem Internet verbunden ist, dadurch werden noch nicht versandte Botschaften neu verschlüsselt.

Der Empfänger bekommt davon nichts mit und der Absender erfährt es erst hinterher und auch nur, sofern er „Verschlüsselungswarnungen“ in seinen Einstellungen aktiviert hat. Theoretisch könnte WhatsApp und damit auch Facebook, durch diesen Schlüsselwechsel die Nachrichten einsehen oder auch einem Dritten, zum Beispiel den Geheimdiensten zugänglich machen.

Das freut die Behörden

Entsprechende Warnungen wurden bereits von Datenschützern herausgegeben.

Beim Centre for Research into Information, Surveillance and Privacy erachtet man die Hintertüren als „Goldmine für Sicherheitsbehörden“, als „Verrat am Vertrauen der Nutzer“ und als „riesige Gefahr für die Meinungsfreiheit“.

Jetzt ist es ja so, dass WhatsApp mit seiner Sicherheit ziemlich heftig auf den virtuellen Putz haut, angeblich würden viele politische Aktivsten und Diplomaten WhatsApp verwenden. Wenn da aber eine so große Sicherheitslücke klafft, dann ist es durchaus schwierig vor allem mit Gesetzen wie dem Investigatory Powers Act aus Großbritannien, welcher der Regierung verdachtsfreie Massenüberwachung erlaubt.

Signal hat die Probleme nicht

Von der technischen Seite ist es ein Problem von WhatsApp und keines des Signal-Protokolls.

Der gleichnamige Messenger von Open Whisper Systems, den auch Snowden empfiehlt, hat diese Art von Hintertür nicht. Wird in diesem Messenger ein neuer Schlüssel generiert, wird die Nachricht nicht einfach weitergegeben, sondern zunächst eine entsprechende Warnung angezeigt.

WhatsApp aber verschickt die Nachricht und warnt eben nur dann, wenn der Nutzer es selber aktiviert hat, die von WhatsApp vorgegeben Einstellung ist „aus“.

Zuverlässige Zustellung als Argument

Der Guardian hat eine Stellungnahme von WhatsApp erhalten, darin verweist WhatsApp auf die Möglichkeit der Verschlüsselungswarnung.

Ein neuer Schlüssel werde meist dann erstellt, wenn ein Nutzer auf ein neues Telefon umsteige, oder WhatsApp neu installiert. Es gäbe Länder in denen ein häufiger Wechsel von Geräten und SIM – Karten üblich wäre, WhatsApp aber wolle sichergehen, dass die Botschaften dennoch ankommen.

Also lieber eine Runde auf Sicherheit verzichten, als dass der Nutzer seine Nachricht noch einmal schicken muss, dramatische Rettungsaktion von WhatsApp – heldenhaft.

Von Facebook gelernt

Auf die Frage, ob WhatsApp oder Facebook auf Gespräche zugreifen, oder diese Dritten zugänglich machen würden, verwies man auf Facebooks Übersicht für Regierungsanfragen.

Allerdings findet man dort einzig eine recht grobe Übersicht zu Behördenanfragen bei Notfällen und Gerichtsverfahren. Ausgewiesen wird nur, wie viele Anfragen es gab und in wieviel Prozent der Fälle Facebook „manche Daten“ übermittelt hat.

Wie immer ist Facebooks und damit WhatsApps Transparenzwilligkeit im unteren, unter einstelligen Prozentbereich zu finden.

Diese Nachricht wird jetzt niemanden mehr wirklich überrascht haben, wir hatten ja bereits nach Bekanntwerden der letzten WhatsApp AGB diverse alternative Messenger vorgestellt. Netzpolitik erklärt in einem Artikel warum man wechseln sollte.

Aber es wird so laufen wie immer, es wird, wenn überhaupt, einen lauten Aufschrei des Entsetzens geben, aber wirklich wechseln werden die wenigsten. Aber es werden weiter fleißig Memes geteilt auf  denen der Bundesregierung die NSA Affäre angelastet wird.

Da fragt man sich dann schon, mit welcher Logik da zu Werke gegangen wird. Facebook und WhatsApp dürfen mich abhören, auch wenn sie meine Chats der NSA zur Verfügung stellen, weil am Ende ist eh die Bundesregierung an allem schuld.

Nein – ich kann WhatsApp nicht löschen, meine Dudes sind alle da, mei Bub, wenn du deinen Dudes wichtig bist, dann werden sie es dir nachtun, wenn sie dir nicht auf einen alternativen Messenger folgen, dann weisst du schon mal deine eigene Wichtigkeit im Dudeskreis *g*

Quellen: