Forum: Netzwelt
WhatsApp: Schwachstelle in Verschlüsselung von Gruppenchats
DPA

Deutscher Forscher haben eine Sicherheitslücke in WhatsApp entdeckt, mit der sich die Ende-zu-Ende-Verschlüsselung von Gruppenchats aushebeln ließe. WhatsApp-Mutter Facebook hält das Angriffsszenario für unrealistisch.

Seite 1 von 2
bauklotzstauner 11.01.2018, 18:31
1.

"Wie Paul Rösler, Christian Mainka und Jörg Schwenk herausfanden, kann jeder, der einen WhatsApp-Server kontrolliert, sich selbst als Administrator ausgeben, sich selbst oder jemand anderen zu einer Gruppe hinzufügen und ab diesem Zeitpunkt mitlesen oder sogar manipulieren, was andere schreiben. Sei es ein Hacker, der es irgendwie schafft, einen WhatsApp-Server zu übernehmen, oder eine Regierung beziehungsweise Behörde, die das Unternehmen gesetzlich zur Kooperation zwingen kann. "

++

Genau das ist der springende Punkt! Hier wurde bewußt eine Hintertür eingebaut, oder sollte man schon von einem bequemen Salon reden? - durch den die NSA, und nur sie weiterhin alle Whatsapp-Nachrichten nach Belieben und "Notwendigkeit" mitlesen kann. Ich vermutete das von Anfang an, da Whatsapp/Facebook diese Verschlüsselung ohne Not einführte, und nach ersten Tests diese nach AUSSEN hin auch ziemlich sicher ist. Sprich: fremde Geheimdienste können nicht mehr mitlesen. Der schon damals zu erkennende Schwachpuinkt war genau dieser: Gruppenchats, an denen der Server praktisch jeden beteiligen kann (sicher auch unsichtbar), und die zentrale Schlüsselverwaltung/erzeugung durch Whatsapp selber. Whatsapp ist für die NSA ein offenes Buch.


Ist jetzt wirklich jemand überrascht?
Und ob Facebook/Whatsapp freiwilig diese Möglichkeit eingebautz hat oder die US-Behörden sie gezwungen haben (US-Unternehmen = US-Recht), läuft im Ergebnis aufs gleiche raus.

Beitrag melden Antworten / Zitieren
MartinS. 11.01.2018, 22:49
2.

Zitat von bauklotzstauner
"Wie Paul Rösler, Christian Mainka und Jörg Schwenk herausfanden, kann jeder, der einen WhatsApp-Server kontrolliert, sich selbst als Administrator ausgeben, sich selbst oder jemand anderen zu einer Gruppe hinzufügen und ab diesem Zeitpunkt mitlesen oder sogar manipulieren, was andere schreiben. Sei es ein Hacker, der es irgendwie schafft, einen WhatsApp-Server zu übernehmen, oder eine Regierung beziehungsweise Behörde, die das Unternehmen gesetzlich zur Kooperation zwingen kann. " ++ Genau das ist der springende Punkt! Hier wurde bewußt eine Hintertür eingebaut, oder sollte man schon von einem bequemen Salon reden? - durch den die NSA, und nur sie weiterhin alle Whatsapp-Nachrichten nach Belieben und "Notwendigkeit" mitlesen kann. Ich vermutete das von Anfang an, da Whatsapp/Facebook diese Verschlüsselung ohne Not einführte, und nach ersten Tests diese nach AUSSEN hin auch ziemlich sicher ist. Sprich: fremde Geheimdienste können nicht mehr mitlesen. Der schon damals zu erkennende Schwachpuinkt war genau dieser: Gruppenchats, an denen der Server praktisch jeden beteiligen kann (sicher auch unsichtbar), und die zentrale Schlüsselverwaltung/erzeugung durch Whatsapp selber. Whatsapp ist für die NSA ein offenes Buch. Ist jetzt wirklich jemand überrascht? Und ob Facebook/Whatsapp freiwilig diese Möglichkeit eingebautz hat oder die US-Behörden sie gezwungen haben (US-Unternehmen = US-Recht), läuft im Ergebnis aufs gleiche raus.
Du liebe Güte - man sollte mal die Kirche im Dorf lassen. Nicht nur zur Benutzung eines solchen Mediums gehört offensichtlich ein gesundes Maß an Menschenverstand, sondern auch zur realistischen Einschätzung.

Um Himmels Willen... die NSA wird hochbeglückt sein, wenn sie an zahllosen Messengergroups live und in Echtzeit mitlesen kann, wer in fünf Minuten gleich da ist... die Unmengen an witzigen Bildchen, die in diesen Gruppen verteilt werden, dürften für die NSA einen Erkenntnisgewinn bedeuten, auf den sie quasi nicht verzichten können.... ebensowenig auf die darauf folgenden 20-30 "lols".
Sorry - diese ganzen Chats sind ungefähr mit dem Nachrichtenwert des Quelle-Katalogs vor 30 Jahren zu vergleichen.
Wer wirklich auf den Gedanken kommen sollte, dienstliche Kommunikation oder sonstige vertrauliche Daten über so ein Medium auszutauschen, dem ist ohnehin nicht zu helfen. Diese Leute wären aber auch mit dem Konzept der Postkarte überfrodert gewesen.
Ein belangloses Medium zum Austausch von Belanglosigkeiten.... da macht man sich doch lächerlich, wenn man davon fabuliert, dass die NSA da schon für ein Hintertürchen gesorgt hat.

Beitrag melden Antworten / Zitieren
hoeffertobias 11.01.2018, 23:12
3. Schon lange geahnt!

Zitat von bauklotzstauner
"Wie Paul Rösler, Christian Mainka und Jörg Schwenk herausfanden, kann jeder, der einen WhatsApp-Server kontrolliert, sich selbst als Administrator ausgeben, sich selbst oder jemand anderen zu einer Gruppe hinzufügen und ab diesem Zeitpunkt mitlesen oder sogar manipulieren, was andere schreiben. Sei es ein Hacker, der es irgendwie schafft, einen WhatsApp-Server zu übernehmen, oder eine Regierung beziehungsweise Behörde, die das Unternehmen gesetzlich zur Kooperation zwingen kann. " ++ Genau das ist der springende Punkt! Hier wurde bewußt eine Hintertür eingebaut, oder sollte man schon von einem bequemen Salon reden? - durch den die NSA, und nur sie weiterhin alle Whatsapp-Nachrichten nach Belieben und "Notwendigkeit" mitlesen kann. Ich vermutete das von Anfang an, da Whatsapp/Facebook diese Verschlüsselung ohne Not einführte, und nach ersten Tests diese nach AUSSEN hin auch ziemlich sicher ist. Sprich: fremde Geheimdienste können nicht mehr mitlesen. Der schon damals zu erkennende Schwachpuinkt war genau dieser: Gruppenchats, an denen der Server praktisch jeden beteiligen kann (sicher auch unsichtbar), und die zentrale Schlüsselverwaltung/erzeugung durch Whatsapp selber. Whatsapp ist für die NSA ein offenes Buch. Ist jetzt wirklich jemand überrascht? Und ob Facebook/Whatsapp freiwilig diese Möglichkeit eingebautz hat oder die US-Behörden sie gezwungen haben (US-Unternehmen = US-Recht), läuft im Ergebnis aufs gleiche raus.
Ich habe schon lange geahnt, dass die Geheimdienste Zugang zu WhatsApp haben, um die tiefsinnige Kommunikation der Nutzer auszuspionieren, Umsturzpläne abzufangen, Bewegungsprofile zu erstellen und politische Meinungen abzufragen. Ich denke aber, dass die Geheimdienste bei 99,99979% der Sinnloskommunikation eher einschlafen, als etwas Interessantes zu entdecken. Für den Normalbürger also sinnfreies Gesülze!

Beitrag melden Antworten / Zitieren
bmvjr 12.01.2018, 00:00
4. Am besten

bleibt es, sich beim Anmelden oder Einrichten eines Kontos auf allen Social Media und Nachrichten Apps darueber im Klaren zu sein, dass es eine hundertprozentige Sicherheit nicht gibt. Wenn man dann persoenliche Daten, wie Bank, Anschrift, Passwoerter, Ausweise, Mitgliedschaftsnummern, Pins und dergleichen von solchen Diensten fernhaelt, und zwar in Wort, Schrift und Bild, kann man recht getrost am Austausch von eher Trivialem teilnehmen.

Beitrag melden Antworten / Zitieren
mbfan 12.01.2018, 01:12
5. bewusst?

Nun ja, ob das bewusst war wage ich doch zu bezweifeln. Wie im letzten Absatz erwähnt: WhatsApp wurde nicht mit Ende-zu-Ende-Verschlüsselung entworfen - und Gruppenchats müssen nun mal zumindest von einem Server gemanagt werden. Es gäbe auch hier einen Anhaltspunkt, dies wahrscheinlich auch ohne Administrator der Gruppe zu sein, zu gewährleisten.
Leider wurde hier nichts über Telegram erwähnt...

Beitrag melden Antworten / Zitieren
realbesserwisser 12.01.2018, 06:39
6. Achtung Weltverschwörung

Ganz so schlimm, wie Kollege Bauklotzstauner es beschwört, ist es ja nun nicht. Vielleicht den Artikel nochmal lesen.
Immerhin sind die 1-to-1 Chats ja E2E verschlüsselt. Und bei den Gruppenchats gibt es was nachzub, dessen Ausnutzung theoretisch ist. Wenn das alles Absicht wäre, wären ja nicht nur die Gruppenchats theoretisch mithörbar, oder?
Naja. Man kann natürlich in allem eine Weltverschwörung wittern.
Wer weiß: ist der Diesel vielleicht absichtlich so dreckig, um die Menschheit nicht zu alt werden zu lassen?

Beitrag melden Antworten / Zitieren
hansgustor 12.01.2018, 07:35
7. Theorie

Da gebe ich recht, dass es sich nur um einen theoretischen Angriff handelt. Natürlich haben die Leute, die die Server kontrollieren, Eingriffsmöglichkeiten. Das ist bei 99% aller Internetdienste so sein. Genauso wie man bei Mobile Apps IMMER auf die Ehrlichkeit der Entwickler angewiesen ist. Dagegen hilft nur ein Peer-to-Peer-Netzwerk, Open Source und Schlüssel selbst generieren. Das ist aber für 99,99% aller Benutzer zu kompliziert.

Beitrag melden Antworten / Zitieren
permissiveactionlink 12.01.2018, 10:46
8. Gruppenchats

führen jede asymetrische Verschlüsselung ad absurdum. Warum ist das so ? Bei einer solchen Verschlüsselung hat jeder seinen eigenen öffentlichen Schlüssel, mit dem Nachrichten an ihn von jedem anderen verschlüsselt werden (das stimmt nicht ganz,s.u.). In einer Gruppe implodiert die Sicherheit automatisch, weil eine Nachricht von A mit den öffentlichen Schlüsseln von B,C,D,...usw. verschlüsselt wird. Auf diese Weise liegt dann der Klartext mehrfach in verschiedenen Geheimtexten vor : Für Kryptanalytiker ein echter Leckerbissen, denn die Verschlüsselung selbst ist eine monoalphabetische, involutorische Blockchiffre. Die ist zwar normalerweise sehr sicher, das gilt aber nicht mehr bei Vorliegen einer Geheimtext-Geheimtext-Kompromittierung, wie in diesem Fall. Noch schlimmer wird es, wenn man aus diesen Spruchschlüsseln Informationen über die Schlüssel des asymmetrischen Verschlüsselungsverfahrens gewinnen kann, die nur zum Austausch der Spruchschlüssel für das symmetrische Verfahren (Blockchiffre) dienen. Dann sind auch Gespräche zwischen zwei einzelnen Personen mitlesbar, sofern sie sich vorher auch im Gruppenchat ausgetauscht haben.

Beitrag melden Antworten / Zitieren
37b262c3 12.01.2018, 16:07
9.

Zitat von hoeffertobias
Ich habe schon lange geahnt, dass die Geheimdienste Zugang zu WhatsApp haben, um die tiefsinnige Kommunikation der Nutzer auszuspionieren, Umsturzpläne abzufangen, Bewegungsprofile zu erstellen und politische Meinungen abzufragen. Ich denke aber, dass die Geheimdienste bei 99,99979% der Sinnloskommunikation eher einschlafen, als etwas Interessantes zu entdecken. Für den Normalbürger also sinnfreies Gesülze!
Was Sie da sarkastisch erwähnen, ist für mich ein Problem. Ich will nicht, dass meine Daten (egal ob persönliche Daten oder Metadaten) weitergegeben und analysiert werden. Ich frage mich, wann die Leute einsehen, dass Privatsphäre wichtig ist. Auch wenn ich in der Stube "nur" Fernseh schaue, will ich nicht, dass mich jemand beobachtet. Ähnliches gilt beim Chatten. Das Bittere ist der Gruppendruck der mit WhatsApp verbunden ist. Erst wenn die Leute die Privatsphäreverletzungen einsehen und in grossem Mass zu Alternativen wie zum Beispiel Threema wechseln, wird WhatsApp gezwungen etwas für die Privatsphäre zu tun.

Beitrag melden Antworten / Zitieren
Seite 1 von 2