© APA/EPA/PATRICK PLEUL

Backdoor
01/13/2017

Facebook kann verschlüsselte WhatsApp-Nachrichten lesen

Ein US-Sicherheitsforscher hat eine Backdoor in WhatsApp entdeckt, das dem US-Konzern das Mitlesen trotz Verschlüsselung erlaubt.

Facebooks Messenger-Dienst WhatsApp kann die Nachrichten seiner Nutzer trotz Verschlüsselung relativ einfach abhören. Das berichtet die britische Tageszeitung Guardian. Demnach habe WhatsApp die Möglichkeit, bereits verschickte Nachrichten mit einem neuen Schlüssel zu versehen und erneut abzuschicken, sofern einer der Nutzer offline ist. Sowohl Sender als auch Empfänger werden darüber nur benachrichtigt, wenn sie eine Sicherheitsfunktion in den Einstellungen aktiviert haben. „Sollte eine Behörde von WhatsApp verlangen, Nachrichten offenzulegen, könnte man das durch das Ändern der Schlüssel bewerkstelligen“, so der Sicherheitsforscher Tobias Boelter von der University of California, Berkeley, gegenüber dem Guardian.

WhatsApp verteidigt Funktion

Boelter entdeckte die vermeintliche Sicherheitslücke bereits im April 2016 und meldete diese an Facebook. Der US-Konzern antwortete lediglich, dass man davon wisse und es sich um „erwartetes Verhalten“ handle, an dem vorerst nichts geändert werden soll werden soll. WhatsApp argumentiert den Backdoor jedoch als Feature: All das sei notwendig, damit gesendete Nachrichten nicht verloren gehen, wenn jemand die App neu installiert oder das Gerät bzw. die Telefonnummer wechselt.

WhatsApp hat das Signal-Protokoll so implementiert, dass der Nutzer auf Wunsch benachrichtigt wird, wenn sich die Sicherheitsnummer eines Kontaktes ändert. Das ist als Option „Sicherheits-Benachrichtigungen anzeigen“ unter Einstellungen, Account und Sicherheit zu finden“, so WhatsApp gegenüber dem Guardian. „Wir wissen, dass das meist passiert, weil jemand das Gerät wechselt oder WhatsApp neu installiert hat. In vielen Regionen der Welt ist es üblich, dass die Menschen häufig ihre Geräte oder SIM-Karten wechseln. Wir wollen verhindern, dass dabei Nachrichten verloren gehen.“

"Goldmine für Nachrichtendienste"

WhatsApp speichert, im Gegensatz zu vielen anderen Messenger-Anbietern, die Nachrichten seiner Nutzer nicht. Stattdessen werden die Nachrichten über die WhatsApp-Server an den Empfänger weitergeleitet und lokal auf dem Gerät gespeichert – seit April 2016 ausschließlich verschlüsselt. Über diese Funktion könnte der US-Konzern aber theoretisch auch im Nachhinein Zugang zu verschlüsselten Nachrichten erlangen. Datenschützer wie Kirstie Ball bezeichnen die Sicherheitslücke daher auch als „Goldmine für Nachrichtendienste“ und einen „gewaltigen Verrat am Nutzer“.

Ob die Funktion bereits von einer Behörde in Anspruch genommen wurde, um die Herausgabe von Gesprächsprotokollen zu verlangen, kommentierten Facebook und WhatsApp nicht. Stattdessen verwies man auf den regelmäßig veröffentlichten Transparenzbericht, in dem die Zahl der Anfragen von Behörden festgehalten wird.

Keine Bedrohung für andere Messenger

Die Backdoor wurde offenbar spezifisch für WhatsApp implementiert, die Integrität des Signal-Protokolls sei nicht bedroht. Open Whisper Systems Signal-Protokoll ist auch bei anderen Messengern, unter anderem Signal, Googles Allo sowie die „geheimen Unterhaltungen“ im Facebook Messenger. WhatsApp wurde bereits bei der ersten Implementierung des Signal-Protokolls kritisiert, da man weiterhin Metadaten, wie den Zeitpunkt von Versand und Empfang und Telefonnummer, speichere. Laut WhatsApp sei man rechtlich dazu verpflichtet.

Update: Open Whisper Systems hat sich mittlerweile auch zum Guardian-Bericht geäußert und diesen als „falsch“ bezeichnet und weist die Vorwürfe zurück, dass es sich dabei um eine Backdoor handle. Demnach habe WhatsApp das Protokoll korrekt implementiert und diese Funktionsweise in einem technischen Whitepaper offengelegt.

Laut Open Whisper Systems sei es nicht möglich, Nachrichten, die bereits zugestellt wurden, erneut mit einem neuen Schlüsselpaar zu verschicken. Somit sei es vonseiten WhatsApp nicht möglich, bereits erfolgreich zugestellte Nachrichten einzusehen. Zudem werde der Nutzer stets, sofern er es wünscht, bei der Änderung des Schlüsselpaares benachrichtigt.