Manipulation im Messenger So können WhatsApp-Chats verfälscht werden

Die IT-Sicherheitsfirma Check Point will Schwachstellen in WhatsApp gefunden haben, die von "höchster Wichtigkeit" seien. WhatsApp selbst sieht das anders - und will nicht reagieren.

WhatsApp-Icon
STEINBA/EPA-EFE/REX/Shutterstock

WhatsApp-Icon

Von


Wer hat was auf WhatsApp geschrieben? Und wer hat es wirklich zu sehen bekommen? Das sollte eindeutig sein, ist es aber unter Umständen nicht. Sicherheitsforscher von Check Point haben eine Schwachstelle in WhatsApp entdeckt, die es möglich macht, insbesondere Gruppenchats auf verschiedene Arten zu manipulieren. Ob solche Manipulationen Folgen haben, hängt von den Mitgliedern der Gruppe ab. Check Point zufolge ist das Problem von "höchster Wichtigkeit".

Check Point

Gelingt der Angriff, über den zuerst die "New York Times" berichtet hat, können die Täter die Zitierfunktion in Gruppenchats austricksen und damit Nachrichten von anderen scheinbar umschreiben.

Ein Beispiel: Schreibt jemand "Ich habe mit der Sache nichts zu tun", könnte jemand mit der Check-Point-Methode eine Zitatantwort schicken, die nicht die originale Nachricht wiederholt, sondern so etwas wie "Ich gebe es zu, ich bin der Schuldige" beinhaltet. Die falsch zitierte Person muss dabei nicht einmal Mitglied der Gruppe sein.

Aufhetzen und verwirren

Außerdem ist es möglich, Nachrichten zu versenden, die wie Gruppennachrichten aussehen, aber nur einen bestimmten Empfänger erreichen. Antwortet dieser auf die Nachricht, ist das aber wiederum für alle Gruppenmitglieder sichtbar.

Theoretisch ließen sich so insbesondere in Gruppenchats die Mitglieder gegeneinander aufhetzen oder verwirren. Für die "Yoga-Gruppe Prenzlauer Berg" mit acht Mitgliedern ist das wenig relevant, für große Gruppen mit bis zu 256 Teilnehmern in Ländern wie Indien, Myanmar oder Sri Lanka schon eher. Dort wird WhatsApp gezielt zur Aufstachelung und zur Verbreitung von Gerüchten benutzt, teils mit tödlichen Folgen.

Doch damit überhaupt funktionieren kann, was die Check-Point-Experten ausgetüftelt haben, müssen mehrere Voraussetzungen erfüllt sein. Die Wichtigste: Wer Antworten manipulieren will, muss ein regulärer Teilnehmer der Konversation sein - es ist nicht möglich, beliebige WhatsApp-Chats beliebiger Nutzer zu verändern. Das verhindert die Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass nur Sender und Empfänger eine Nachricht einsehen können. Diese Verschlüsselung wurde von Check Point nicht gebrochen.

Aufmerksame Nutzer würden die Verfälschung erkennen

Zweitens dürfen die Opfer nicht allzu genau hinschauen. In einem Beispiel von Check Point fragt der Angreifer sein Opfer per WhatsApp "Wie geht es dir?" und die Antwort lautet "Bestens". Nun kann der Angreifer mit einer Zitatantwort darauf reagieren und dabei das Zitat beliebig umschreiben. Statt "Bestens" könnte dort dann "Ganz schlimm, ich liege im Krankenhaus" stehen. Weiter oben im Chat bleibt aber "Bestens" stehen. Aufmerksame Leser eines Chatverlaufs würden das erkennen - und den Täter gleich mit. Erst in Gruppen mit sehr vielen aktiven Teilnehmern wird das schwierig.

Auf die gleiche Weise könnte man auch eine beliebige Zitatantwort von jemandem erstellen, der gar nicht Mitglied der Gruppe ist. Doch auch das könnte jemandem auffallen, der genug Überblick über eine Gruppe hat, zum Beispiel dem Administrator.

In privaten Chats ist es möglich, sich selbst Antworten zu schicken, die aussehen, als kämen sie vom Gesprächspartner. Auf diese Weise, schreiben die Check-Point-Forscher, könnte man belastendes Material über jemanden fabrizieren oder einen Vertragsabschluss simulieren. Sichtbar wäre das jedoch nur auf dem Gerät des Angreifers, nicht dem des Opfers. Eine Gegenprobe würde also zumindest Ungereimtheiten aufdecken.

Die letzte von Check Point demonstrierte Angriffsvariante - die vermeintliche Antwort an eine Gruppe, die tatsächlich aber nur ein einziges Gruppenmitglied bekommt - erfordert mehrere Schritte des Angreifers. Dauert das zu lange, hat vielleicht schon jemand anderes geantwortet und die Konversation weitergetrieben.

Check Point hat Schwächen in der Web-Version entdeckt

WhatsApp-Sprecher Carl Woog teilte auf Anfrage mit: "Wir haben uns das sorgfältig angesehen und es ist das Äquivalent zur Verfälschung einer E-Mail, um den Eindruck zu erwecken, jemand hätte etwas geschrieben, das er aber nie wirklich geschrieben hat."

Das Unternehmen habe verschiedene Maßnahmen gegen die Verbreitung von Falschinformationen getroffen, heißt es, zudem sperre es Nutzerkonten, die versuchen, WhatsApp für die Verbreitung von Spam zu modifizieren. Ein Update, um den Check-Point-Hack zu verhindern, wird es nicht geben.

Technisch basieren die Angriffe alle auf einer Schwachstelle in der Kommunikation zwischen der Android-App von WhatsApp und der Desktopversion WhatsApp Web.

Nicht die ersten Schwächen

Wer WhatsApp Web benutzen will, muss eine verschlüsselte Verbindung zur Smartphone-App aufbauen und kann erst danach Messenger-Nachrichten im Browser schreiben. Die werden dann aufs Smartphone geschickt und dort durch die mobile App an die Empfänger geleitet. Die Check-Point-Spezialisten haben diese Verbindung zwischen App und Desktop-Browser aber entschlüsselt. Das ermöglicht es ihnen, WhatsApp Web zu erweitern und sozusagen mit Sonderzugriffsrechten zu nutzen.

Sie sehen dann verschiedene Parameter, die zu jeder WhatsApp-Nachricht gehören, normalerweise aber nur im Hintergrund verarbeitet werden. Mit diesen Parametern wird der Text einer Nachricht festgelegt, die einmalige Identifikationsnummer jeder Nachricht, sowie Sender, Empfänger und Teilnehmer des Chats. Alle diese Felder lassen sich in der Erweiterung ändern. Ob die Opfer die mobile App oder WhatsApp Web benutzen, spielt dabei keine Rolle.

Es ist nicht das erste Mal, dass Sicherheitsforscher Schwächen in WhatsApp finden. Die Lücken auszunutzen, ist aber in der Regel schwierig und nur in sehr speziellen Situationen für einen Angreifer sinnvoll. Nutzer, die keinem besonderen Überwachungsrisiko ausgesetzt sind, profitieren weiterhin von der Ende-zu-Ende-Verschlüsselung des Messengers, die verhindert, dass Unbefugte eine Nachricht mitlesen können.

Oded Vanunu, Chef der Sicherheitsforschungsabteilung bei Check Point, sagt im Gespräch mit dem SPIEGEL: "Wir sagen nicht, dass WhatsApp eine schlechte App ist. Es ist sogar eine sehr gute App. Aber wir wollen mit unserer Veröffentlichung darauf hinweisen, dass es wichtig sein kann, sehr genau hinzusehen, wenn man eine aufrührende Nachricht bekommt."

Mehr zum Thema


insgesamt 12 Beiträge
Alle Kommentare öffnen
Seite 1
frenchie3 08.08.2018
1. Wenn diese Lücke besteht wird sie auch ausgenutzt
Wer wird einem Trumpfan erklären können daß er für eine Nachricht an zwei Stellen lesen muß?
swnf 08.08.2018
2. Email
Als ich anfing den Artikel zu lesen, kam mir der Gedanke, dass genau das gleiche "Problem" bei Emails mit "allen antworten" doch auch besteht. Den Verlauf der Nachrichten kann ich manipulieren und damit auch den Text, der von anderen geschrieben wurde. Bei Emails kann ich sogar per Bcc "Mitglieder" hinzufügen, die für die anderen unsichtbar sind. Bei Emails hat das meines Wissens nach noch nie jemand als Sicherheitslücke beanstanded. Später im Artikel wird der Vergleich mit Emails dann ja sogar erwähnt. Wieso wird das also bei What's App als Problem dargestellt? Naja, vielleicht kann ich das Problem auch nur deshalb nicht nachvollziehen, weil ich keine Gruppen mit mehr als 5-6 Teilnehmern dauerhaft nutze. Viel zu nervig, wenn dort ständig irgendjemand irgendwas zu melden hat.
ptb29 08.08.2018
3. Whats App Nachrichten können verfälscht werden.
Von Mitgliedern einer Gruppe! Von innen können viele Systeme ausgehebelt werden. Was will man uns also sagen?
JürgenHammerbeck 08.08.2018
4.
Zitat von ptb29Von Mitgliedern einer Gruppe! Von innen können viele Systeme ausgehebelt werden. Was will man uns also sagen?
Ich nehme an "man" will "uns" sagen, dass es zwecklos ist, whatapp users etwas zu erklären: Vom Web-Client verschickte Nachrichten sind manipulierbar! Trotz der Ende-zu-Ende-Verschlüsselung von WhatsApp kann ein Angreifer Nachrichten manipulieren, wenn er sich in den sicheren Kommunikationskanal des Messengers einklinkt. Das ist das Problem! Man muss sich mit der Technik auch beschäftigen.
myonium 08.08.2018
5.
Zitat von JürgenHammerbeckIch nehme an "man" will "uns" sagen, dass es zwecklos ist, whatapp users etwas zu erklären: Vom Web-Client verschickte Nachrichten sind manipulierbar! Trotz der Ende-zu-Ende-Verschlüsselung von WhatsApp kann ein Angreifer Nachrichten manipulieren, wenn er sich in den sicheren Kommunikationskanal des Messengers einklinkt. Das ist das Problem! Man muss sich mit der Technik auch beschäftigen.
Nun ja - wenn der "Angreifer" ein legitimer Adressat der Ende-zu-Ende-verschlüsselten Nachricht war. Ist das jetzt echt eine Meldung?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.