Categories: MobileMobile Apps

Bericht über Sicherheitsproblem: Experten stellen sich auf die Seite von WhatsApp

Sicherheitsforscher und Kryptografieexperten haben in einem offenen Brief die britische Zeitung The Guardian kritisiert und sich auf die Seite von WhatsApp gestellt. Auslöser für die Kritik ist ein Bericht des Blattes, wonach die Verschlüsselung in WhatsApp falsch implementiert sein soll. Die Zeitung zitierte darin Tobias Boelter, Experte für Kryptologie an der Berkeley-Universität in Kalifornien. In dem offenen Brief wird ihr nun vorgeworfen vor, dessen Aussagen nicht durch andere Experten überprüft zu haben.

Den offenen Brief haben unter anderem Matthew Green, Professor für Kryptografie an der Johns Hopkins University, Jonathan Zdziarski, Bruce Schneier und Isis Lovecruft, Chefentwicklerin des Anonymisierungsnetzwerks The Onion Router (Tor), unterzeichnet. Aber auch Mitarbeiter von Google, Intel Security, der Electronic Frontier Foundation, Mozilla, Cloudflare und des Open Crypto Audit Project gehören zu den Unterzeichnern. WhatsApp und Open Whisper Systems, auf dessen Code die Verschlüsslung bei WhatsApp basiert, hatten die Vorwürfe bereits zuvor zurückgewiesen.

Sofern die entsprechende Einstellung aktiviert ist, werden Nutzer bei WhatsApp auf die kritisierte Schlüsseländerung hingewiesen. (Screenshot: Open Whisper Systems)

Anlass der Kritik durch The Guardian war die Verarbeitung von offline erstellten WhatsApp-Nachrichten, die nicht sofort verschickt werden. Für sie wird ein neuer Verschlüsselungsschlüssel erstellt und mit dem Empfänger ausgetauscht. Da dem Empfänger der Austausch des Schlüssels nicht bekannt sei und der Sender standardmäßig nicht über den Schlüsselaustausch informiert werde, kann laut Guardian WhatsApp so die Kommunikation seiner Nutzer abfangen und mitlesen und könnte diese Möglichkeit auch Dritten eröffnen.

In ihrem offenen Brief weisen die Experten diese Möglichkeit nicht völlig von der Hand. Sie erklären aber, dass “sicherheitsbewusste Nutzer” einen derartigen Missbrauch schnell erkennen können. Schließlich sei es möglich, Sicherheitswarnungen für den nachträglichen Schlüsseltausch zu aktivieren. Außerdem müsse ein Dritter, um diese Möglichkeit nutzen zu können, uneingeschränkten Zugang zum Smartphone eines Nutzers oder zu WhatsApps Servern haben.

Verfasserin des Briefs ist die türkische Journalistin Zeynep Tufekci. The Guardian erklärte gegenüber Motherboard, man habe inzwischen in der Überschrift des Artikels das Wort “Hintertür” durch “Schwachstelle” ersetzt. “Zeynep Tufekcis offener Brief ist uns bekannt und wir haben ihr angeboten, eine Antwort zu unserem Bericht zu schreiben. Das Angebot besteht weiterhin und wir begrüßen eine weitere Debatte”, so das Blatt weiter.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Moxie Marlinspike, Chef von Open Whisper Systems, dem Entwickler des verschlüsselten Messengers Signal, dessen Verschlüsselungsprotokoll auch WhatsApp nutzt, hatte bereits erklärt, WhatsApp sei zwar theoretisch in der Lage, als “Man in the Middle” aufzutreten. Das sei aber bei jedem Kommunikationssystem möglich. WhatsApp-Nutzer könnten aber eine Schlüsselprüfung aktivieren, die einen Man-in-the-Middle-Angriff aufdeckt. Da WhatsApp wiederum nicht bekannt sei, ob Nutzer diese Einstellung aktiviert haben, laufe das Unternehmen Gefahr, von seinen Nutzern ertappt zu werden. Sinngemäß räumte Marlinspike zwar ein, dass sich die Implementierung von WhatsApp theoretisch angreifen lässt, sah die Umsetzung aber als akzeptablen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit – die bei sichereren Implementierung nicht mehr gegeben sei.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

19 Stunden ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

20 Stunden ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

2 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

2 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

3 Tagen ago