WhatsApp-Backdoor soll Umgehen der Verschlüsselung erlauben
Der britische Guardian berichtet von einer Hintertür in dem Messaging-Dienst WhatsApp. Angeblich soll es dieses Leck Facebook und auch anderen Organisationen erlauben, Nachrichten abzufangen und diese zu lesen. Eigentlich sollte ein Protokoll eine Ende-zu-Ende-Verschlüsselung in WhatsApp ermöglichen, die Mitlesen unmöglich macht.
Der Guardian beruft sich dabei auf Forschungsergebnisse des deutschen Sicherheitsforscher Tobias Boelter, einem Experten für Kryptologie an der Berkeley-Universität in Kalifornien. Durch die Implementierung des verwendeten Protokolls soll es laut Aussagen des Forschers möglich sein, Nachrichten abzufangen.
Das Protokoll ‘Signal’ basiert darauf, dass einzigartige Sicherheitsschlüssel generiert werden. Diese stellen sicher, dass nur Sender und Empfänger einer Nachricht, diese entschlüsseln können. Bislang galt das als so sicher, dass selbst Edward Snowden für eine sichere Kommunikation, etwa für Oppositionelle in autoritären Staaten, den Messaging-Dienst Signal empfiehlt.
Das Signal-Protokoll, das von Open Whisper Systems entwickelt und anschließend in WhatsApp integriert wurde, soll nach wie vor sicher sein. Doch laut Boelter soll WhatsApp die Möglichkeit haben, für Offline-Nutzer die Erstellung von neuen Keys zu erzwingen, die weder Sender noch Empfänger einer Nachricht kennen. Wenn eine Nachricht als nicht gesendet gilt, dann erstellt der Sender einer Nachricht erneut einen Key. Der Empfänger bemerkt nichts davon, dass für eine Nachricht neue Schlüssel vergeben wurden.
Auch der Absender einer Nachricht bekommt nur dann eine Mitteilung, wenn er die Warnungen für die Verschlüsselung aktiviert hat und dies auch nur dann, wenn er die Nachricht erneut gesendet hat. Laut dem Forscher aber soll es diese erneute Verschlüsselung und das erneute Versenden einer Nachricht für WhatsApp möglich machen, Nachrichten abzufangen und zu lesen.
Der Guardian zitiert Boelter mit den Worten: “Wenn WhatsApp von einer Regierungsbehörde aufgefordert wird, diese Informationen mitzuteilen, kann es aufgrund dieser Änderungen in den Keys Zugriff auf die Kommunikation gewähren.” Das führe so weit, dass über den WhatsApp-Server nicht nur eine einzelne Nachricht, sondern eine gesamte Kommunikation ausgelesen werden könne. Dafür müsse der Server lediglich alle Nachrichten weiterleiten, ohne dass dem Sender übermittelt wird, dass der Empfänger die Nachricht tatsächlich erhalten hat.
Erfolgreiches Netz-Design kann die Produktivität deutlich verbessern und neue Chancen für die digitale Geschäftsentwicklung eröffnen. Ein unzureichend dimensioniertes WAN hemmt dagegen das produktive Arbeiten und führt zu Frustration bei Mitarbeitern, Lieferanten und Kunden. In diesem Whitepaper erfahren Sie, worauf es zu achten gilt.
Mit Signal hingegen verhält es sich anders: Wenn ein Nutzer, während er offline ist, einen neuen Sicherheitsschlüssel auswählt, dann ist es nicht möglich, dass eine Nachricht zugestellt wird. Während bei WhatsApp die Nachricht automatisch mit einem neuen Schlüssel erneut geschickt wird, wird bei Signal der Sender darüber informiert, dass die Übermittlung nicht abgeschlossen wurde.
Boelter erklärt, dass er das Problem bereits im April 2016 an Facebook gemeldet habe. Doch bei Facebook sieht man dem Forscher zufolge ein “erwartetes Verhalten” und keinen Fehler. Facebook, als Muttergesellschaft von WhatApp, will nicht in erster Linie Dissidenten in repressiven Regimen eine sichere Kommunikation ermöglichen. Laut Angaben von Facebook, das den Service 2014 für 22 Milliarden Dollar übernommen hatte, nutzen mehr als eine Milliarde Menschen WhatsApp. Und offenbar ist man bei dem Anbieter darum bemüht, eine Balance aus Sicherheit und Praxistauglichkeit zu finden.
Durch diese Hintertür bekommen natürlich Geheimdienste zumindest theoretisch Zugriff auf die Kommunikation über WhatsApp. Kristie Ball, Gründerin des Centre for Research into Information Surveillance and Privacy erklärt gegenüber dem Guardian, dass es sich hier um einen “großen Verrat am Vertrauens der Nutzer handelt”.
Unter den Einstellungen in WhatsApp Account/Sicherheit/ lässt sich festlegen, ob man darüber informiert werden möchte, wenn ein Kontakt die Sicherheitseinstellungen verändert. Hier teilt WhatsApp auch mit: “Nachrichten, die du sendest, und deine Anrufe werden, falls möglich, automatisch mit Ende-zu-Ende-Verschlüsselung geschützt, was bedeutet, dass weder WhatsApp noch Dritte sie lesen oder hören können.”
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.