Dr.Dream
13.01.17, 17:41
Backdoor untergräbt Ende-zu-Ende-Verschlüsselung
WhatsApp besitzt eine Backdoor und kann damit in den Konversationen seiner Nutzer mitlesen. So berichtet es zumindest der britische Guardian. Doch ist die ausgemachte Schwachstelle tatsächlich so dramatisch?
Im vergangenen Jahr gab WhatsApp medienwirksam bekannt, dass der eigene Messenger fortan Ende-zu-Ende-Verschlüsselung standardmäßig unterstütze. Das war und ist eine erfreuliche Nachricht für den Datenschutz. Doch angeblich sind die Daten am Ende gar nicht so sicher, wie die Nutzer im Glauben gelassen werden. Denn Tobias Boelter, ein Experte für Kryptographie und Sicherheit der University of California, will eine sogenannte Backdoor im WhatsApp-Code gefunden haben.
„Wenn WhatsApp von staatlichen Behörden gebeten wird, Zugriff auf Konversationen zu gewähren, kann das Unternehmen [...] dem umfangreich Folge leisten.“, behauptet Boelter gegenüber dem Guardian. Möglich wird das durch eine Sicherheitslücke, die es erlaubt, das Schlüsselmaterial auszutauschen, wenn der Nutzer offline ist. Das soll gewährleisten, dass eine vorübergehend unzustellbare Nachricht am Ende doch noch ankommt, sobald der Empfänger wieder Verbindung zum Internet aufweist – unabhängig davon, ob sich der Empfängerschlüssel in der Zwischenzeit geändert hat.
WhatsApp: Nutzerfreundlichkeit zulasten des Datenschutzes
Das klingt für sich genommen natürlich nach einer dreisten Schwachstelle, die Nutzer in falscher Sicherheit wiegen lässt. Allerdings, und darauf gehen weder der Guardian noch Boelter näher ein, lässt sich das mit einem simplen Begriff begründen: Tradeoff. Zu Deutsch: Trotz aller Sicherheitsbedenken ist WhatsApp natürlich daran interessiert, den eigenen Service möglichst bedien- und nutzerfreundlich zu gestalten.
Wie es anders geht, zeigt der Signal-Messenger von Open Whisper Systems. Dieser basiert auf dem gleichnamigen Signal-Protokoll, das ebenfalls von der Non-Profit-Organisation entwickelt wurde und dessen sich auch WhatsApp für seine Ende-zu-Ende-Verschlüsselung bedient. Wenn eine Nachricht in diesem Chat-Dienst nicht zugestellt werden kann, weil der Empfänger offline ist, bleibt besagte Nachricht auch unzustellbar. Der Sender wird dann schlichtweg über die Unzustellbarkeit in Kenntnis gesetzt.
Das mag sicherer sein, für die meisten WhatsApp-Nutzer käme das aber auch einer unverständlichen Schikane gleich. Im Übrigen lässt sich eine entsprechende Benachrichtigung auch in den Einstellungen der App forcieren. Die Nachrichten werden dann zwar weiterhin unter Umständen mit geändertem Schlüsselmaterial zugestellt, aber zumindest geschieht das dann für den Nutzer nicht unbemerkt.
Neujahrswünsche 2017 für WhatsApp, SMS & Co.: Lustige & schöne Sprüche für Silvester GIGA Bilderstrecke Neujahrswünsche 2017 für WhatsApp, SMS & Co.: Lustige & schöne Sprüche für Silvester
WhatsApp: Backdoor bewusst eingegangener Tradeoff
In einer offiziellen Stellungnahme widerspricht WhatsApp den Vorwürfen des Guardians, wonach es sich um eine absichtlich platzierte Schwachstelle handle: „Diese Design-Entscheidung [...] verhindert, dass Millionen von Nachrichten verloren gehen.“ Zudem verweist das Unternehmen unter anderem auf den Facebook Government Requests Report, der alle Regierungsanfragen, auch WhatsApp betreffend, transparent offenlegt. „WhatsApp gewährt Regierungen keine Hintertür in die eigenen Systeme und würde ein solches Gesuch stets anfechten.“, heißt es weiter. Da der Erfolg eines in einem so heiklen Bereich wie Social Media agierenden Unternehmens mit seinem Ruf steht und fällt, ist die bewusste Ausnutzung dieser Schwachstelle zumindest unwahrscheinlich.
Quelle: Giga
WhatsApp besitzt eine Backdoor und kann damit in den Konversationen seiner Nutzer mitlesen. So berichtet es zumindest der britische Guardian. Doch ist die ausgemachte Schwachstelle tatsächlich so dramatisch?
Im vergangenen Jahr gab WhatsApp medienwirksam bekannt, dass der eigene Messenger fortan Ende-zu-Ende-Verschlüsselung standardmäßig unterstütze. Das war und ist eine erfreuliche Nachricht für den Datenschutz. Doch angeblich sind die Daten am Ende gar nicht so sicher, wie die Nutzer im Glauben gelassen werden. Denn Tobias Boelter, ein Experte für Kryptographie und Sicherheit der University of California, will eine sogenannte Backdoor im WhatsApp-Code gefunden haben.
„Wenn WhatsApp von staatlichen Behörden gebeten wird, Zugriff auf Konversationen zu gewähren, kann das Unternehmen [...] dem umfangreich Folge leisten.“, behauptet Boelter gegenüber dem Guardian. Möglich wird das durch eine Sicherheitslücke, die es erlaubt, das Schlüsselmaterial auszutauschen, wenn der Nutzer offline ist. Das soll gewährleisten, dass eine vorübergehend unzustellbare Nachricht am Ende doch noch ankommt, sobald der Empfänger wieder Verbindung zum Internet aufweist – unabhängig davon, ob sich der Empfängerschlüssel in der Zwischenzeit geändert hat.
WhatsApp: Nutzerfreundlichkeit zulasten des Datenschutzes
Das klingt für sich genommen natürlich nach einer dreisten Schwachstelle, die Nutzer in falscher Sicherheit wiegen lässt. Allerdings, und darauf gehen weder der Guardian noch Boelter näher ein, lässt sich das mit einem simplen Begriff begründen: Tradeoff. Zu Deutsch: Trotz aller Sicherheitsbedenken ist WhatsApp natürlich daran interessiert, den eigenen Service möglichst bedien- und nutzerfreundlich zu gestalten.
Wie es anders geht, zeigt der Signal-Messenger von Open Whisper Systems. Dieser basiert auf dem gleichnamigen Signal-Protokoll, das ebenfalls von der Non-Profit-Organisation entwickelt wurde und dessen sich auch WhatsApp für seine Ende-zu-Ende-Verschlüsselung bedient. Wenn eine Nachricht in diesem Chat-Dienst nicht zugestellt werden kann, weil der Empfänger offline ist, bleibt besagte Nachricht auch unzustellbar. Der Sender wird dann schlichtweg über die Unzustellbarkeit in Kenntnis gesetzt.
Das mag sicherer sein, für die meisten WhatsApp-Nutzer käme das aber auch einer unverständlichen Schikane gleich. Im Übrigen lässt sich eine entsprechende Benachrichtigung auch in den Einstellungen der App forcieren. Die Nachrichten werden dann zwar weiterhin unter Umständen mit geändertem Schlüsselmaterial zugestellt, aber zumindest geschieht das dann für den Nutzer nicht unbemerkt.
Neujahrswünsche 2017 für WhatsApp, SMS & Co.: Lustige & schöne Sprüche für Silvester GIGA Bilderstrecke Neujahrswünsche 2017 für WhatsApp, SMS & Co.: Lustige & schöne Sprüche für Silvester
WhatsApp: Backdoor bewusst eingegangener Tradeoff
In einer offiziellen Stellungnahme widerspricht WhatsApp den Vorwürfen des Guardians, wonach es sich um eine absichtlich platzierte Schwachstelle handle: „Diese Design-Entscheidung [...] verhindert, dass Millionen von Nachrichten verloren gehen.“ Zudem verweist das Unternehmen unter anderem auf den Facebook Government Requests Report, der alle Regierungsanfragen, auch WhatsApp betreffend, transparent offenlegt. „WhatsApp gewährt Regierungen keine Hintertür in die eigenen Systeme und würde ein solches Gesuch stets anfechten.“, heißt es weiter. Da der Erfolg eines in einem so heiklen Bereich wie Social Media agierenden Unternehmens mit seinem Ruf steht und fällt, ist die bewusste Ausnutzung dieser Schwachstelle zumindest unwahrscheinlich.
Quelle: Giga