Categories: MobileMobile Apps

Bericht über Sicherheitsproblem: Experten stellen sich auf die Seite von WhatsApp

Sicherheitsforscher und Kryptografieexperten haben in einem offenen Brief die britische Zeitung The Guardian kritisiert und sich auf die Seite von WhatsApp gestellt. Auslöser für die Kritik ist ein Bericht des Blattes, wonach die Verschlüsselung in WhatsApp falsch implementiert sein soll. Die Zeitung zitierte darin Tobias Boelter, Experte für Kryptologie an der Berkeley-Universität in Kalifornien. In dem offenen Brief wird ihr nun vorgeworfen vor, dessen Aussagen nicht durch andere Experten überprüft zu haben.

Den offenen Brief haben unter anderem Matthew Green, Professor für Kryptografie an der Johns Hopkins University, Jonathan Zdziarski, Bruce Schneier und Isis Lovecruft, Chefentwicklerin des Anonymisierungsnetzwerks The Onion Router (Tor), unterzeichnet. Aber auch Mitarbeiter von Google, Intel Security, der Electronic Frontier Foundation, Mozilla, Cloudflare und des Open Crypto Audit Project gehören zu den Unterzeichnern. WhatsApp und Open Whisper Systems, auf dessen Code die Verschlüsslung bei WhatsApp basiert, hatten die Vorwürfe bereits zuvor zurückgewiesen.

Sofern die entsprechende Einstellung aktiviert ist, werden Nutzer bei WhatsApp auf die kritisierte Schlüsseländerung hingewiesen. (Screenshot: Open Whisper Systems)

Anlass der Kritik durch The Guardian war die Verarbeitung von offline erstellten WhatsApp-Nachrichten, die nicht sofort verschickt werden. Für sie wird ein neuer Verschlüsselungsschlüssel erstellt und mit dem Empfänger ausgetauscht. Da dem Empfänger der Austausch des Schlüssels nicht bekannt sei und der Sender standardmäßig nicht über den Schlüsselaustausch informiert werde, kann laut Guardian WhatsApp so die Kommunikation seiner Nutzer abfangen und mitlesen und könnte diese Möglichkeit auch Dritten eröffnen.

In ihrem offenen Brief weisen die Experten diese Möglichkeit nicht völlig von der Hand. Sie erklären aber, dass “sicherheitsbewusste Nutzer” einen derartigen Missbrauch schnell erkennen können. Schließlich sei es möglich, Sicherheitswarnungen für den nachträglichen Schlüsseltausch zu aktivieren. Außerdem müsse ein Dritter, um diese Möglichkeit nutzen zu können, uneingeschränkten Zugang zum Smartphone eines Nutzers oder zu WhatsApps Servern haben.

Verfasserin des Briefs ist die türkische Journalistin Zeynep Tufekci. The Guardian erklärte gegenüber Motherboard, man habe inzwischen in der Überschrift des Artikels das Wort “Hintertür” durch “Schwachstelle” ersetzt. “Zeynep Tufekcis offener Brief ist uns bekannt und wir haben ihr angeboten, eine Antwort zu unserem Bericht zu schreiben. Das Angebot besteht weiterhin und wir begrüßen eine weitere Debatte”, so das Blatt weiter.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Moxie Marlinspike, Chef von Open Whisper Systems, dem Entwickler des verschlüsselten Messengers Signal, dessen Verschlüsselungsprotokoll auch WhatsApp nutzt, hatte bereits erklärt, WhatsApp sei zwar theoretisch in der Lage, als “Man in the Middle” aufzutreten. Das sei aber bei jedem Kommunikationssystem möglich. WhatsApp-Nutzer könnten aber eine Schlüsselprüfung aktivieren, die einen Man-in-the-Middle-Angriff aufdeckt. Da WhatsApp wiederum nicht bekannt sei, ob Nutzer diese Einstellung aktiviert haben, laufe das Unternehmen Gefahr, von seinen Nutzern ertappt zu werden. Sinngemäß räumte Marlinspike zwar ein, dass sich die Implementierung von WhatsApp theoretisch angreifen lässt, sah die Umsetzung aber als akzeptablen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit – die bei sichereren Implementierung nicht mehr gegeben sei.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

6 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

7 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago