Whatsapp: „Nur“ Sicherheitslücke oder Backdoor?

Der Guardian berichtet über eine so genannte Backdoor bei WhatsApp: https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages. Es geht dabei um die Verschlüsselung.

WhatsApp-Nachrichten werden so verschlüsselt, dass nur auf dem Gerät des Empfängers einer Nachricht diese entschlüsselt werden kann. Für die Verschlüsselung wird ein so genannter Public Key des Empfängers genutzt, der auf dem Whatsapp-Server liegt. Wenn man ein neues Gerät in Betrieb nimmt oder WhatsApp neu installiert, wird immer ein neuer Public Key generiert.

Beim Senden von Nachrichten kann es vorkommen, dass Nachrichten nochmals gesendet werden müssen und zwar dann, wenn der Empfänger z.B. offline ist und daher die zwei Häkchen auf seinem Gerät noch nicht zu sehen sind. In diesem Fall kann auch mit einem neuen Public Key, der nicht vom Empfänger stammt, die Nachricht versendet und gelesen werden.

Tobias Boelter, der diese Lücke entdeckt hat, demonstriert dies in einem YouTube-Video: https://www.youtube.com/watch?v=we-pJE5JjAs&feature=youtu.be.

Der Absender kann dies mitbekommen, wenn bei Einstellungen->Account->Sicherheit->Sicherheit „Benachrichtigungen anzeigen“ aktiviert ist. Dies ist es standardmäßig allerdings nicht.

In diesem Fall erhält der Absender eine Mitteilung, dass sich der Sicherheitscode des Empfängers geändert hat, jedoch wird die Nachricht trotzdem gesendet und nicht blockiert.

Open Whisper Systems, welche die Verschlüsselungstechnologie von WhatsApp entwickelt haben (Signal Protocol), bestreiten, dass es sich um eine Backdoor handelt: https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/, da die Änderung des Sicherheitscodes aufgedeckt werden kann. Dieser Artikel wird zum Teil zum Anlass genommen, die WhatsApp-Backdoor Story als Panikmache einzustufen bzw. herunterzuspielen.

Die Alternative zum praktizierten Verfahren bestünde darin, das Senden der Nachrichten zu blockieren. Dies nicht zu tun, beruht auf einer Design-Entscheidung von WhatsApp/Facebook:
https://netzpolitik.org/2017/backdoor-facebook-kann-die-verschluesselten-inhalte-auf-whatsapp-mitlesen/.

Gemessen am Anspruch von verschlüsselter Kommunikation, nämlich die Privatheit der Kommunikation zu sichern, ist das bewusste Design einer Anwendung mit einem Verfahren, welches diese aushebeln kann, mehr als eine Sicherheitslücke. Die Sicherheitslücke ist ja in der Regel nicht gewollt, häufig nicht bekannt und wird nachträglich aufgedeckt.

Eine bekannte, bewusst implementierte Sicherheitslücke, kann eine Backdoor sein. Dies hängt wiederum vom Vertrauen des Nutzers ab, welches dieser der Betreiberfirma, Facebook, entgegenbringt, diese Sicherheitslücke nicht auszunutzen.

WhatsApp schreibt:
„WhatsApp’s end-to-end encryption ensures only you and the person you’re communicating with can read what is sent, and nobody in between, not even WhatsApp.“ (https://www.whatsapp.com/security/?l=en).

Das entspricht nicht den Tatsachen. Aufgeklärt wird über die Sicherheitslücke außerdem nicht, der Anschein sicherer Kommunikation hochgehalten.

Ins Gespräch kommen auch immer dann, wenn WhatsApp in der Kritik steht, auch Alternativen, die angeblich sicherer sind. Ein Blick hinter die Kulissen bzw. eine nähere Beschäftigung mit der Thematik zeigt, dass dies nicht einfach ist.

Weitere Messenger:

Threema: https://threema.ch/de/
zu Threema: http://matthiasschwarzer.tumblr.com/post/77795433364/wer-android-nutzt-kann-sich-threema-gleich

Signal: https://whispersystems.org: Nachteil: Google Play Services/Play Store benötigt
zu Signal: https://fliegentoeter.eu/textsecure-die-sichere-alternative-zu-whatsapp/

Google Play Services-Ersatz: microG GmsCore: https://o9i.de/2015/10/23/howto-gmscore.html

Conversations: https://conversations.im: Jabber/XMPP client für Android 4.0+ Smartphones
hierzu auch: https://www.kuketz-blog.de/conversations-sicherer-android-messenger/

Telegram: https://telegram.org
Zu Telegram: http://www.netzpiloten.de/telegram-messaging-app-vertrauen/

Matrix: http://matrix.org

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *