Whatsapp: „Nur“ Sicherheitslücke oder Backdoor?

Der Guardian berichtet über eine so genannte Backdoor bei WhatsApp: https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages. Es geht dabei um die Verschlüsselung.

WhatsApp-Nachrichten werden so verschlüsselt, dass nur auf dem Gerät des Empfängers einer Nachricht diese entschlüsselt werden kann. Für die Verschlüsselung wird ein so genannter Public Key des Empfängers genutzt, der auf dem Whatsapp-Server liegt. Wenn man ein neues Gerät in Betrieb nimmt oder WhatsApp neu installiert, wird immer ein neuer Public Key generiert.

Beim Senden von Nachrichten kann es vorkommen, dass Nachrichten nochmals gesendet werden müssen und zwar dann, wenn der Empfänger z.B. offline ist und daher die zwei Häkchen auf seinem Gerät noch nicht zu sehen sind. In diesem Fall kann auch mit einem neuen Public Key, der nicht vom Empfänger stammt, die Nachricht versendet und gelesen werden.

Tobias Boelter, der diese Lücke entdeckt hat, demonstriert dies in einem YouTube-Video: https://www.youtube.com/watch?v=we-pJE5JjAs&feature=youtu.be.

Der Absender kann dies mitbekommen, wenn bei Einstellungen->Account->Sicherheit->Sicherheit „Benachrichtigungen anzeigen“ aktiviert ist. Dies ist es standardmäßig allerdings nicht.

In diesem Fall erhält der Absender eine Mitteilung, dass sich der Sicherheitscode des Empfängers geändert hat, jedoch wird die Nachricht trotzdem gesendet und nicht blockiert.

Open Whisper Systems, welche die Verschlüsselungstechnologie von WhatsApp entwickelt haben (Signal Protocol), bestreiten, dass es sich um eine Backdoor handelt: https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/, da die Änderung des Sicherheitscodes aufgedeckt werden kann. Dieser Artikel wird zum Teil zum Anlass genommen, die WhatsApp-Backdoor Story als Panikmache einzustufen bzw. herunterzuspielen.

Die Alternative zum praktizierten Verfahren bestünde darin, das Senden der Nachrichten zu blockieren. Dies nicht zu tun, beruht auf einer Design-Entscheidung von WhatsApp/Facebook:
https://netzpolitik.org/2017/backdoor-facebook-kann-die-verschluesselten-inhalte-auf-whatsapp-mitlesen/.

Gemessen am Anspruch von verschlüsselter Kommunikation, nämlich die Privatheit der Kommunikation zu sichern, ist das bewusste Design einer Anwendung mit einem Verfahren, welches diese aushebeln kann, mehr als eine Sicherheitslücke. Die Sicherheitslücke ist ja in der Regel nicht gewollt, häufig nicht bekannt und wird nachträglich aufgedeckt.

Eine bekannte, bewusst implementierte Sicherheitslücke, kann eine Backdoor sein. Dies hängt wiederum vom Vertrauen des Nutzers ab, welches dieser der Betreiberfirma, Facebook, entgegenbringt, diese Sicherheitslücke nicht auszunutzen.

WhatsApp schreibt:
„WhatsApp’s end-to-end encryption ensures only you and the person you’re communicating with can read what is sent, and nobody in between, not even WhatsApp.“ (https://www.whatsapp.com/security/?l=en).

Das entspricht nicht den Tatsachen. Aufgeklärt wird über die Sicherheitslücke außerdem nicht, der Anschein sicherer Kommunikation hochgehalten.

Ins Gespräch kommen auch immer dann, wenn WhatsApp in der Kritik steht, auch Alternativen, die angeblich sicherer sind. Ein Blick hinter die Kulissen bzw. eine nähere Beschäftigung mit der Thematik zeigt, dass dies nicht einfach ist.

Weitere Messenger:

Threema: https://threema.ch/de/
zu Threema: http://matthiasschwarzer.tumblr.com/post/77795433364/wer-android-nutzt-kann-sich-threema-gleich

Signal: https://whispersystems.org: Nachteil: Google Play Services/Play Store benötigt
zu Signal: https://fliegentoeter.eu/textsecure-die-sichere-alternative-zu-whatsapp/

Google Play Services-Ersatz: microG GmsCore: https://o9i.de/2015/10/23/howto-gmscore.html

Conversations: https://conversations.im: Jabber/XMPP client für Android 4.0+ Smartphones
hierzu auch: https://www.kuketz-blog.de/conversations-sicherer-android-messenger/

Telegram: https://telegram.org
Zu Telegram: http://www.netzpiloten.de/telegram-messaging-app-vertrauen/

Matrix: http://matrix.org

Who can see what others post on your timeline?

Eine der Privacy Settings bei Facebook, mit der ich die Sichtbarkeit von Posts von anderen auf meiner Timeline einstellen kann. Standardeinstellung ist „Freunde von Freunde“, reicht aber bis öffentlich.

Hier lege ich quasi eine Veröffentlichungsoption für andere fest. Umgekehrt erhalte ich einen Hinweis, wenn ich bei jemandem etwas auf seiner Timeline poste, dass der Timeline-Besitzer die Sichtbarkeit bestimmt. Allerdings erfahre ich nicht, wie dieser die Sichtbarkeit eingestellt hat.

Es wird nicht ganz klar gemacht, was die Einstellungen der Timeline umfassen, aber es ist wohl davon auszugehen, dass es sich um alle Beiträge der Timeline handelt: Fotos, Statusnachrichten, Kommentare etc.

Wenn ich zum Beispiel etwas „like“, einen Post eines anderen, dann entscheidet offenbar dieser, wie mein Like von anderen gesehen wird.

Facebook – Datenschutz

Standardmäßig sind die Einstellungen bei Facebook nicht restriktiv gesetzt, z.B. „Wer kann sehen, was andere in deiner Chronik posten“ ist auf „Freunde von Freunden“ voreingestellt, d.h. da kann ich durch die Freundeslisten hüpfen und mir die Inhalte von x-beliebigen Menschen anschauen. Eine Zufalls-Stichprobe von ca. 7 – 8 Nutzern hat ergeben, dass nur bei einem kein Blick auf die Timeline möglich war.