Handelsblatt

MenüZurück
Wird geladen.

11.01.2018

14:11 Uhr

Verschlüsselung umgangen

Forscher finden Sicherheitslücke bei WhatsApp

VonJohannes Steger

Forscher haben herausgefunden, wie die Verschlüsselung bei Gruppenchats theoretisch umgangen werden kann und heimlich neue Mitglieder beitreten könnten. Das Problem ließe sich einfach beheben.

Whatsapp: Forscher finden Sicherheitslücke Facebook-Tochter

Whatsapp

Forscher haben entdeckt, dass Whatsapp eine Sicherheitslücke in seiner Verschlüsselung aufweist. (Foto: dpa)

DüsseldorfManchmal kommt Ärger von ganz unerwarteter Stelle: Für WhatsApp dieser Tage aus dem Ruhrgebiet. Die IT-Wissenschaftler Paul Rösler, Christian Mainka und Jörg Schwenk von der Bochumer Ruhr-Universität wollen in einer Untersuchung herausgefunden haben, dass WhatsApp eine Sicherheitslücke in seiner Verschlüsselung aufweist. Theoretisch wäre es dadurch möglich, Mitglieder ohne Einladung und Kenntnis des Gruppenadministrators in eine Gruppe zu bringen. Damit wären die Kommunikation innerhalb des Gruppenchats offen für den Eindringling.

Forscher Rösler im Gespräch mit dem Handelsblatt: „Sowohl das Verändern von Statusmeldungen einzelner Nachrichten oder das komplette Entfernen von Kommunikation wäre dem Angreifer möglich. So könnte er sich so zumindest eine Zeit lang verbergen, wenn zum Beispiel Gruppenmitglieder seine Anwesenheit entdecken und daraufhin Fragen stellen.“ Damit könnte sich der Eindringling unkenntlich machen.

Rösler und seine Kollegen haben sich nicht nur WhatsApp, sondern auch die Dienste Threema und Signal angeschaut, die allerdings besser abschnitten als die Facebook-Tochter. Ihre Erkenntnisse stellten die Forscher auf einer Sicherheitskonferenz in der Schweiz vor, auf die dann auch das US-amerikanische Tech-Magazin „Wired“ aufmerksam wurde.

Um einen Teilnehmer in eine Gruppe zu schleusen benötigt der Angreifer die Kontrolle über einen WhatsApp-Server. Dort würden die Teilnehmer einer Gruppe verwaltet, erklärt Rösler: „Erlangt jemand Kontrolle darüber, kann der Teilnehmer hinzufügen.“

Rösler sieht die Gefahr nicht bei Hackern, sondern viel eher bei Behörden oder Geheimdiensten, wenn zum Beispiel der Anbieter zur Kooperation verpflichtet wird. „Und je größer die Gruppe, desto länger kann es dauern, bis der Eindringling entdeckt wird“, so der Forscher.

Zudem merkt Rösler an, dass die Ende-zu-Ende Verschlüsselung in Gruppen fast sinnlos sei, wenn sie vom Protokoll nicht unterstützt werde: „Und da Ende-zu-Ende Verschlüsselung genau vor Angreifern wie Staaten, Providern oder Polizei schützen soll, ist es nicht so schön, dass gerade diese in Gruppen nicht erfolgreich ausgeschlossen werden.“

„Wired“ konfrontierte auch die Facebook-Tochter mit den Ergebnissen. Die nimmt die Erkenntnisse ernst, verweist jedoch darauf, dass jedes neue Mitglied mit einer Meldung innerhalb einer Gruppe bekannt gemacht wird. Auch gegenüber dem Handelsblatt sagt das Unternehmen, dass man den Dienst so gebaut habe, dass Gruppennachrichten nicht an versteckte Nutzer geschickt werden könnten. Privatheit und Sicherheit der Nutzern seien sehr wichtig für WhatsApp, weshalb man auch so wenig Informationen sammele und alle Nachrichten verschlüssele.

Eine wirklich nachhaltige Methode zur Überwachung sei es natürlich nicht, so Rösler, irgendwann würde der Angreifer auch in einer größeren Gruppe bemerkt. Ihm und seinen Forscherkollegen ginge es vor allem darum, diese Sicherheitslücke kenntlich zu machen, um den Anbieter zu warnen. Das Problem ließe sich einfach beheben, meint er. WhatsApp sieht das Ganze wohl nicht als wirkliche Bedrohung, schließlich qualifizierten sich die Erkenntnisse nicht für das Bug-Bounty-Programm der Konzernmutter Facebook, bei dem an den Entdecker von Sicherheitslücken eine Belohnung bezahlt wird.

Der Kryptographie-Professor Matthew Green von der Johns Hopkins Universität sagte jedoch gegenüber „Wired“, dass er die Lücke für ziemlich verkorkst halte. Es wäre wie die Eingangstür einer Bank offen zu lassen und dann zu sagen, dass keiner einbrechen werde, weil es doch eine Sicherheitskamera gäbe. Das sei dumm.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×