-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

Am 14.1.2017 haben wir über das Thema: Werden bei WhatsApp etwa Nachrichten abgefangen? berichtet über die auch der “Guardian” berichtet hatte!

Kurz nach dem Bericht im „Guardian“ erfolgte eine Stellungnahme des Entwicklers.

-Produktempfehlung: Kaspersky lab-

Nachdem der britische „Guardian“ die Geschichte über die Schwachstelle in der Verschlüsselungskette von WhatsApp aufgegriffen hatte und die Sicherheitslücke von Medienbericht zu Medienbericht mehr und mehr zu einer absichtlichen Hintertür wurde, hat sich jetzt der Entwickler Moxie Marlinspike zu Wort gemeldet.

Der Entwickler der open – source Verschlüsselungstechnik, die bei WhatsApp zum Einsatz kommt, weist in seinem Artikel „There is no WhatsApp ‚backdoor‘“ die Idee über eine absichtliche Hintertür zurück.

Auch Tobias Boelter, der die Sicherheitslücke seinerzeit entdeckt hatte, bezweifelt in einem Blogeintrag, dass die Lücke absichtlich geschaffen wurde.

it’s not a security issue it’s a feature

Boelter hatte seinerzeit WhatsApp auf seine Entdeckung hingewiesen, WhatsApp teilte ihm daraufhin mit in diesem Verhalten keine Sicherheitslücke zu erkennen, vielmehr sei es ein Feature.

Der Messenger Signal verwendet dasselbe Verfahren, allerdings bekommt der Versender einer Nachricht bei einem Schlüsselwechsel, von Signal eine Nachricht und wird gebeten den Schlüsselwechsel und den Versand der Nachricht zu bestätigen. Darin sieht WhatsApp scheinbar einen unzumutbaren Mehraufwand für seine User.

Marlinspike gibt allerdings auch zu, dass diese Entscheidung der WhatsApp Entwickler in der Tat die Option für einen Angriff bietet. Im Gegensatz zu Boelter, kann er aber die Entscheidung nachvollziehen, ja er verteidigt im gewissen Sinne sogar die WhatsApp Entscheidung, denn wenn ein Chat jedes Mal unterbrochen werden würde, wenn der private Schlüssel sich ändert, könnten neue Datenschutzprobleme auftreten.

Würde der Versand dann blockiert und eine Überprüfung des Schlüssels angefordert, wüsste das Unternehmen ja welcher Nutzer die Benachrichtigungsfunktion aktiviert hat und welcher nicht. Letzterer wäre dann durch einen versteckten Schlüsselaustausch angreifbar.

Ein Problem, dass WhatsApp schon alleine dadurch vermeiden könnte, indem die Benachrichtigungsfunktion bei allen gleichermaßen aktiviert sein würde.

Marlinspike bekundete außerdem, dass die Clients nicht dazu veranlasst werden könnten, bereits verschickte Nachrichten nach Schlüsselwechsel erneut zu verschicken, das wäre aber die Voraussetzung dafür, dass vorangegangene Nachrichten ausgelesen werden könnten, so wie der Artikel des „Guardian“ als Interpretation zuließ. Besonders enttäuscht ist Marlinspike darüber, dass die Journalisten des „Guardian“ ihn nicht mal zur Verifizierung ihres Beitrages angesprochen hätten.

Was also tun

WhatsApp User können unter Android in den WhatsApp Einstellungen unter Account à Sicherheit die Option „Sicherheits-Benachrichtigungen anzeigen“ aktivieren.

Damit wird nicht verhindert, dass die Botschaften in falsche Hände geraten, aber sie bekommen immerhin eine Nachricht darüber, dass der Gegenpart eventuell nicht mehr der ist, der er, oder sie, mal war.

Die Entscheidung darüber, ob sie dem Partner am anderen Ende weiterhin vertrauen, oder lieber zunächst über die Sicherheitsnummer überprüfen wollen, obliegt dem jeweiligen Nutzer, oder Nutzerin selbst.

Auch muss jeder für sich selber entscheiden, ob hinter der Sicherheitslücke und vor allem dem Festhalten an der bisherigen Vorgehensweise seitens WhatsApp ein Vorsatz vermutet wird.

Quelle: https://www.heise.de