Update zu: WhatsApp ist nicht ganz dicht

Jens | ZDDK | MIMIKAMA, 16. Januar 2017

Am 14.1.2017 haben wir über das Thema: Werden bei WhatsApp etwa Nachrichten abgefangen? berichtet über die auch der “Guardian” berichtet hatte!

Kurz nach dem Bericht im „Guardian“ erfolgte eine Stellungnahme des Entwicklers.

Nachdem der britische „Guardian“ die Geschichte über die Schwachstelle in der Verschlüsselungskette von WhatsApp aufgegriffen hatte und die Sicherheitslücke von Medienbericht zu Medienbericht mehr und mehr zu einer absichtlichen Hintertür wurde, hat sich jetzt der Entwickler Moxie Marlinspike zu Wort gemeldet.

Der Entwickler der open – source Verschlüsselungstechnik, die bei WhatsApp zum Einsatz kommt, weist in seinem Artikel „There is no WhatsApp ‚backdoor‘“ die Idee über eine absichtliche Hintertür zurück.

Auch Tobias Boelter, der die Sicherheitslücke seinerzeit entdeckt hatte, bezweifelt in einem Blogeintrag, dass die Lücke absichtlich geschaffen wurde.

it’s not a security issue it’s a feature

Boelter hatte seinerzeit WhatsApp auf seine Entdeckung hingewiesen, WhatsApp teilte ihm daraufhin mit in diesem Verhalten keine Sicherheitslücke zu erkennen, vielmehr sei es ein Feature.

Der Messenger Signal verwendet dasselbe Verfahren, allerdings bekommt der Versender einer Nachricht bei einem Schlüsselwechsel, von Signal eine Nachricht und wird gebeten den Schlüsselwechsel und den Versand der Nachricht zu bestätigen. Darin sieht WhatsApp scheinbar einen unzumutbaren Mehraufwand für seine User.

Marlinspike gibt allerdings auch zu, dass diese Entscheidung der WhatsApp Entwickler in der Tat die Option für einen Angriff bietet. Im Gegensatz zu Boelter, kann er aber die Entscheidung nachvollziehen, ja er verteidigt im gewissen Sinne sogar die WhatsApp Entscheidung, denn wenn ein Chat jedes Mal unterbrochen werden würde, wenn der private Schlüssel sich ändert, könnten neue Datenschutzprobleme auftreten.

Würde der Versand dann blockiert und eine Überprüfung des Schlüssels angefordert, wüsste das Unternehmen ja welcher Nutzer die Benachrichtigungsfunktion aktiviert hat und welcher nicht. Letzterer wäre dann durch einen versteckten Schlüsselaustausch angreifbar.

Ein Problem, dass WhatsApp schon alleine dadurch vermeiden könnte, indem die Benachrichtigungsfunktion bei allen gleichermaßen aktiviert sein würde.

Marlinspike bekundete außerdem, dass die Clients nicht dazu veranlasst werden könnten, bereits verschickte Nachrichten nach Schlüsselwechsel erneut zu verschicken, das wäre aber die Voraussetzung dafür, dass vorangegangene Nachrichten ausgelesen werden könnten, so wie der Artikel des „Guardian“ als Interpretation zuließ. Besonders enttäuscht ist Marlinspike darüber, dass die Journalisten des „Guardian“ ihn nicht mal zur Verifizierung ihres Beitrages angesprochen hätten.

Was also tun

WhatsApp User können unter Android in den WhatsApp Einstellungen unter Account à Sicherheit die Option „Sicherheits-Benachrichtigungen anzeigen“ aktivieren.

Damit wird nicht verhindert, dass die Botschaften in falsche Hände geraten, aber sie bekommen immerhin eine Nachricht darüber, dass der Gegenpart eventuell nicht mehr der ist, der er, oder sie, mal war.

Die Entscheidung darüber, ob sie dem Partner am anderen Ende weiterhin vertrauen, oder lieber zunächst über die Sicherheitsnummer überprüfen wollen, obliegt dem jeweiligen Nutzer, oder Nutzerin selbst.

Auch muss jeder für sich selber entscheiden, ob hinter der Sicherheitslücke und vor allem dem Festhalten an der bisherigen Vorgehensweise seitens WhatsApp ein Vorsatz vermutet wird.

Quelle: https://www.heise.de


Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel