Verschlüsselte Nachrichten WhatsApp widerspricht Bericht über Hintertür für Behörden

In der Verschlüsselung des beliebten Messengers WhatsApp klafft laut einem IT-Forscher eine Sicherheitslücke. Nachrichten könnten abgefangen werden. WhatsApp dementiert entschieden.

WhatsApp-Logo
DPA

WhatsApp-Logo


In der Verschlüsselungssoftware von Facebooks Messenger WhatsApp steckt laut einem Bericht des "Guardian" eine Hintertür. Durch diese Softwarelücke könnten Facebook oder Regierungsstellen verschlüsselte Nachrichten abfangen und entschlüsseln, heißt es. WhatsApp widerspricht dieser Darstellung.

Seit der Einführung der Ende-zu-Ende-Verschlüsselung bei seiner Messaging-App WhatsApp gilt das Programm als sicherer Kommunikationsweg. WhatsApp wirbt damit, dass niemand die verschlüsselten Nachrichten einsehen könne, auch das Unternehmen selbst nicht.

Der kalifornische Sicherheitsforscher Tobias Boelter hatte das Unternehmen laut "Guardian" allerdings bereits im April 2016 auf eine Schwachstelle in der Umsetzung der Verschlüsselungssoftware aufmerksam gemacht. Auch auf dem Hackerkongress 33C3 in Hamburg Ende Dezember präsentierte Boelter seine Ergebnisse.

Neuverschlüsselung nicht zugestellter Nachrichten

Grundlage für die WhatsApp-Verschlüsslung ist eine Software der Firma Open Whisper Systems. Sie arbeitet mit einem Schlüsselsystem, das den sicheren Nachrichtenaustausch zwischen Sender und Empfänger organisieren soll. Das Problem laut Boelter: WhatsApp könne die Schlüssel unter bestimmten Umständen austauschen, ohne dass Nutzer dies merkten - und damit Unterhaltungen abfangen.

Der WhatsApp-Messenger ermöglicht es dem Bericht zufolge, für nicht zugestellte Nachrichten ohne Wissen von Sender und Empfänger neue Schlüssel zu generieren. Nutzer bekommen davon in den Standardeinstellungen der App nichts mit.

Der WhatsApp-Server könne nach einer solchen Neuverschlüsselung auch den gesamten Nachrichtenaustausch anfordern. Dann wären nicht nur einzelne Nachrichten zugänglich, sondern ganze Unterhaltungen, beispielsweise für Strafverfolgungsbehörden, heißt es weiter.

WhatsApp weist "Guardian"-Darstellung zurück

Der Messenger-Dienst hat inzwischen dem Vorwurf widersprochen: "WhatsApp stellt Regierungen keine Hintertür in ihre Systeme zur Verfügung und würde derartige Anfragen ablehnen", heißt es in einer Erklärung.

Es handele sich dabei um eine notwendige technische Lösung, damit Nutzer zum Beispiel beim Wechsel von Geräten oder Telefonnummern weiterhin miteinander kommunizieren könnten. WhatsApp biete zudem Benachrichtigungen an, um Nutzer auf potenzielle Sicherheitsrisiken hinzuweisen.

Am häufigsten geschehe die Neuverschlüsselung, wenn Nutzer ihr Telefon wechseln oder die App erneut installieren würden, teilte WhatsApp weiter mit. "In diesem Fall wollen wir sichergehen, dass die Nachrichten auch zugestellt werden und nicht verloren gehen", heißt es weiter. WhatsApp habe zudem seine Verschlüsselungsmechanismen offengelegt und würde auch Behördenanfragen in einem Report veröffentlichen.

Die Open-Whisper-Software, die Grundlage für die WhatsApp-Verschlüsselung ist und auch in dem Messenger Signal eingesetzt wird, sei von der Sicherheitslücke nicht betroffen, hieß es im "Guardian" . Nicht gesendete Nachrichten würden dort nicht automatisch erneut zugestellt.


Update, 23. Januar: In einem offenen Brief fordern rund 70 IT- und Sicherheitsexperten um Wissenschaftlerin Zeynep Tufekci den "Guardian" dazu auf, seinen Artikel zu berichtigen. Der Bericht sei alarmistisch und verunsichere Nutzer von WhatsApp. Es gebe keine "Hintertüre" wie vom "Guardian" suggeriert. Vielmehr habe WhatsApp zur besseren Benutzbarkeit seines Dienstes ein kleines Zugeständnis bei der Sicherheit gemacht. Die Bedrohung dadurch sei extrem klein, anders als vom "Guardian" beschrieben.

brt



insgesamt 22 Beiträge
Alle Kommentare öffnen
Seite 1
chriswotian 13.01.2017
1. Threema
Heißt die beste Alternative
Mertrager 13.01.2017
2. Wir glauben das natürlich
das Dementi. In einer Zeit, in der das systematische Verbreiten von Unwahrheiten durchaus hoffähig ist, bedarf es eigentlich einer automatischen Dementi-Funktion. Denn beim Auto-Dementi ist das für Außenstehende keine Spekulaton über den Wahrheitsgehalt mehr möglich, denn es wird ja grundsätzlich alles dann sofort dementiert. Das Bemühen um Sachverhalte entfällt dann auch vollständig. So, wie in der Politik zumeist jetzt schon.
ueberfuehrt 13.01.2017
3. So bekommt man 80% seiner WA-Leute zu Threema:
Man muss einfach nur KONSEQUENT umsteigen!!! Alle WhatsApp-Kontakte anschreiben, das man WA hinter sich lässt weil: – WA ist unsicher – WA fällt regelmäßig aus – WA behält sich das Recht vor verschickte Bilder weiterzuverkaufen (=unverfrohren) – WA (Telegram-) Links löscht und somit Zensur betreibt – WA mit jedem Serverkontakt die komplette Kontaktliste des Smartphones überträgt – WA zu Facebook gehört – WA ganz einfach von Geheimdiensten mitgeschnitten werden kann – WA zum Unterschichten-Messenger verkommen ist – WA regelmäßig durch Datenschutz-Unverschämtheiten auffällt – WA-Nutzer durch Tools wie WhatsSpy überwacht werden können Das sollten für jeden Menschen mit funktionierendem Hirn genug Gründe sein, das Spionage-Teil endlich wieder runter zu schmeißen. Man selbst wechselt dann ins sichere Lager und ist nur noch über Threema zu erreichen. WA deinstallieren und nicht wieder raufspielen. IHR WERDET SEHEN – ES DAUERT CA 2 – 3 WOCHEN UND SCHWUPP SIND EIN GROßTEIL DER WA-KONTAKTE AUCH BEI THREEMA! Und die die es, nach Edward Snowden, immer noch nicht kapiert haben, werden es auch nicht mehr kapieren und sind es meist auch nicht mehr wert als Kontakt weitergepflegt zu werden. KONSEQUENTES HANDELN ist hier der Schlüssel zum Erfolg!!! Threema ist seit Jahren die meistverkaufte App (bei Apple und bei Google) und bis zum heutigem Tage hat man NIE gehört, dass eine Threema-Nachricht geknackt wurde! Eventuell lohnt es sich morgen oder übermorgen mal zu gucken: Nach solch einem WA-Skandal gibt es Threema oft für 99 cent (anstatt für 2.99)!
modemhamster 13.01.2017
4. Threema? Nee
Proprietärer Server, der wegen VDS in der Schweiz möglicherweise bald sonstwohin umziehen muss. Für Android: conversations, einen XMPP-Account auf einem guten Server. Ende-Zu-Ende Verschlüsselung, die Server kommunizieren verschlüsselt, kaum Meta-Daten. Desktop: Gajim mit OMEMO Plug-In iOS Besitzer müssen sich noch etwas gedulden, aber ChatSecure steht in den Startlöchern, um ebenfalls gescheit verschlüsselt mit dem genormten (und damit herstellerunabhängigen) XMPP-Protokoll zu chatten. Ansonsten hat @überführt vollkommen recht: Finger weg von WhatsSpy, es gibt brauchbare alternativen.
frank_w._abagnale 13.01.2017
5. Wer nichts zu verbergen hat.....
Wer nichts zu verbergen hat, fürchtet sich auch nicht davor, wenn irgendeine Behörde mitliest. Diese ganze Diskussion unter dem Deckmäntelchen des Datenschutzes ist mir als aufrechtem und rechtsschaffenden Bürger suspekt.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.