Forscher finden Lücke bei WhatsApp-Verschlüsselung
Seit etwas weniger als zwei Jahren setzt WhatsApp auf vollständige Verschlüsselung. Deutsche Sicherheitsforscher haben nun herausgefunden, dass die im April 2016 für alle Nutzer eingeführte Ende-zu-Ende-Verschlüsselung des Messaging-Dienstes bei Gruppen-Chats umgangen werden kann, berichtet Wired. Auf der Real World Crypto-Konferenz in Zürich präsentierten Kryptologen von der Ruhr Universität in Bochum am Mittwoch ein Papier (PDF), in dem sie auf eine Lücke bei der Verschlüsselung von Gruppen-Chats auf WhatsApp und anderen Diensten hinweisen.
„Wert der Verschlüsselung nicht sehr hoch“
Vorausgesetzt man habe Kontrolle über die WhatsApp-Server, könnten zu Gruppen-Chats auf WhatsApp auch ohne Erlaubnis des Administrators, der den Zugang zu der Gruppen-Kommunikation kontrolliert, Teilnehmer hinzugefügt werden, heißt es in der Untersuchung. Der Wert der Verschlüsselung sei nicht sehr hoch, wenn nicht autorisierte Teilnehmer an den Chats die Nachrichten erhalten und lesen könnten, wird Paul Rösler, ein Mitautor der Untersuchung von Wired zitiert. Die Vertraulichkeit der Gruppe sei damit gebrochen.
Möglichkeiten begrenzt
Zwar sei durch die Notwendigkeit des Zugangs zu den Unternehmensservern die Reichweite der Spionage-Methode stark eingegrenzt. Wenn aber etwa Behörden über WhatsApp Zugang zu den Servern erhalten, könnten vertrauliche Gespräche mitgehört werden. Eine Prämisse der Ende-zu-Ende-Verschlüsselung sei es, dass selbst über kompromittierte Server nicht auf die Inhalte von Nachrichten zugegriffen werden könne, heißt es in dem Papier weiter. Verschlüsselte Nachrichten sollten nur autorisierten Teilnehmern einer Gruppe zugänglich sein.
Wenn ein System das Vertrauen in einen Server voraussetzt, könne man sich die komplexe Ende-zu-Ende-Verschlüsselung gleich sparen, sagte der Kryptologe Matthew Green zu Wired. „Das ist ein Fehler, für den es keine Entschuldigung gibt.
Bug
Die deutschen Forscher machten sich bei ihrer Angriffsmethode einen einfachen Bug im WhatsApp-System zunutze. Bei Gruppen-Chats können nur Administratoren neue Mitglieder einladen. Authentifizierungsmechanismen, die nicht vom WhatsApp-Server umgangen werden könnten, gibt es nicht. Zwar werden die Mitglieder von Gruppen-Chats über Neuzugänge informiert. Diese Nachrichten können jedoch über verschiedene Tricks verzögert werden. Über den Server hinzugefügte Mitglieder können also zumindest eine Zeit lang die Kommunikation mithören.
WhatsApp wiegelt ab
WhatsApp bestätigte gegenüber Wired die Erkenntnisse der Forscher, verwies aber darauf, dass es nicht möglich sei, neue Mitglieder zu Gruppen-Chats hinzuzufügen, ohne dass dies bemerkt würde. Als „versteckter Nutzer“ an einem Gruppen-Chat teilzunehmen sei unmöglich. Sicherheitsforscher Green lässt das gegenüber Wired nicht gelten. Das sei so, als würde man die Tür einer Bank weit offen lassen und davon ausgehen, dass niemand sie überfallen würde, weil es ohnehin Überwachungskameras gebe, sagte der Experte zu Wired: „Das ist dumm.“
In ihrem Papier fanden die Forscher auch kleinere Fehler in der Verschlüsselung von Gruppen-Chats bei den Messengern von Signal und Threema. Diese seien jedoch relativ harmlos.