Manipulation im Messenger So können WhatsApp-Chats verfälscht werden

Die IT-Sicherheitsfirma Check Point will Schwachstellen in WhatsApp gefunden haben, die von "höchster Wichtigkeit" seien. WhatsApp selbst sieht das anders - und will nicht reagieren.
WhatsApp-Icon

WhatsApp-Icon

Foto: STEINBA/EPA-EFE/REX/Shutterstock

Wer hat was auf WhatsApp geschrieben? Und wer hat es wirklich zu sehen bekommen? Das sollte eindeutig sein, ist es aber unter Umständen nicht. Sicherheitsforscher von Check Point haben eine Schwachstelle in WhatsApp entdeckt, die es möglich macht, insbesondere Gruppenchats auf verschiedene Arten zu manipulieren. Ob solche Manipulationen Folgen haben, hängt von den Mitgliedern der Gruppe ab. Check Point zufolge  ist das Problem von "höchster Wichtigkeit".

Foto: Check Point

Gelingt der Angriff, über den zuerst die "New York Times" berichtet hat , können die Täter die Zitierfunktion in Gruppenchats austricksen und damit Nachrichten von anderen scheinbar umschreiben.

Ein Beispiel: Schreibt jemand "Ich habe mit der Sache nichts zu tun", könnte jemand mit der Check-Point-Methode eine Zitatantwort schicken, die nicht die originale Nachricht wiederholt, sondern so etwas wie "Ich gebe es zu, ich bin der Schuldige" beinhaltet. Die falsch zitierte Person muss dabei nicht einmal Mitglied der Gruppe sein.

Aufhetzen und verwirren

Außerdem ist es möglich, Nachrichten zu versenden, die wie Gruppennachrichten aussehen, aber nur einen bestimmten Empfänger erreichen. Antwortet dieser auf die Nachricht, ist das aber wiederum für alle Gruppenmitglieder sichtbar.

Theoretisch ließen sich so insbesondere in Gruppenchats die Mitglieder gegeneinander aufhetzen oder verwirren. Für die "Yoga-Gruppe Prenzlauer Berg" mit acht Mitgliedern ist das wenig relevant, für große Gruppen mit bis zu 256 Teilnehmern in Ländern wie Indien, Myanmar oder Sri Lanka schon eher. Dort wird WhatsApp gezielt zur Aufstachelung und zur Verbreitung von Gerüchten benutzt, teils mit tödlichen Folgen.

Doch damit überhaupt funktionieren kann, was die Check-Point-Experten ausgetüftelt haben, müssen mehrere Voraussetzungen erfüllt sein. Die Wichtigste: Wer Antworten manipulieren will, muss ein regulärer Teilnehmer der Konversation sein - es ist nicht möglich, beliebige WhatsApp-Chats beliebiger Nutzer zu verändern. Das verhindert die Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass nur Sender und Empfänger eine Nachricht einsehen können. Diese Verschlüsselung wurde von Check Point nicht gebrochen.

Aufmerksame Nutzer würden die Verfälschung erkennen

Zweitens dürfen die Opfer nicht allzu genau hinschauen. In einem Beispiel von Check Point fragt der Angreifer sein Opfer per WhatsApp "Wie geht es dir?" und die Antwort lautet "Bestens". Nun kann der Angreifer mit einer Zitatantwort darauf reagieren und dabei das Zitat beliebig umschreiben. Statt "Bestens" könnte dort dann "Ganz schlimm, ich liege im Krankenhaus" stehen. Weiter oben im Chat bleibt aber "Bestens" stehen. Aufmerksame Leser eines Chatverlaufs würden das erkennen - und den Täter gleich mit. Erst in Gruppen mit sehr vielen aktiven Teilnehmern wird das schwierig.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von YouTube, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Auf die gleiche Weise könnte man auch eine beliebige Zitatantwort von jemandem erstellen, der gar nicht Mitglied der Gruppe ist. Doch auch das könnte jemandem auffallen, der genug Überblick über eine Gruppe hat, zum Beispiel dem Administrator.

In privaten Chats ist es möglich, sich selbst Antworten zu schicken, die aussehen, als kämen sie vom Gesprächspartner. Auf diese Weise, schreiben die Check-Point-Forscher, könnte man belastendes Material über jemanden fabrizieren oder einen Vertragsabschluss simulieren. Sichtbar wäre das jedoch nur auf dem Gerät des Angreifers, nicht dem des Opfers. Eine Gegenprobe würde also zumindest Ungereimtheiten aufdecken.

Die letzte von Check Point demonstrierte Angriffsvariante - die vermeintliche Antwort an eine Gruppe, die tatsächlich aber nur ein einziges Gruppenmitglied bekommt - erfordert mehrere Schritte des Angreifers. Dauert das zu lange, hat vielleicht schon jemand anderes geantwortet und die Konversation weitergetrieben.

Check Point hat Schwächen in der Web-Version entdeckt

WhatsApp-Sprecher Carl Woog teilte auf Anfrage mit: "Wir haben uns das sorgfältig angesehen und es ist das Äquivalent zur Verfälschung einer E-Mail, um den Eindruck zu erwecken, jemand hätte etwas geschrieben, das er aber nie wirklich geschrieben hat."

Das Unternehmen habe verschiedene Maßnahmen gegen die Verbreitung von Falschinformationen getroffen, heißt es, zudem sperre es Nutzerkonten, die versuchen, WhatsApp für die Verbreitung von Spam zu modifizieren. Ein Update, um den Check-Point-Hack zu verhindern, wird es nicht geben.

Technisch basieren die Angriffe alle auf einer Schwachstelle in der Kommunikation zwischen der Android-App von WhatsApp und der Desktopversion WhatsApp Web.

Nicht die ersten Schwächen

Wer WhatsApp Web benutzen will, muss eine verschlüsselte Verbindung zur Smartphone-App aufbauen und kann erst danach Messenger-Nachrichten im Browser schreiben. Die werden dann aufs Smartphone geschickt und dort durch die mobile App an die Empfänger geleitet. Die Check-Point-Spezialisten haben diese Verbindung zwischen App und Desktop-Browser aber entschlüsselt. Das ermöglicht es ihnen, WhatsApp Web zu erweitern und sozusagen mit Sonderzugriffsrechten zu nutzen.

Sie sehen dann verschiedene Parameter, die zu jeder WhatsApp-Nachricht gehören, normalerweise aber nur im Hintergrund verarbeitet werden. Mit diesen Parametern wird der Text einer Nachricht festgelegt, die einmalige Identifikationsnummer jeder Nachricht, sowie Sender, Empfänger und Teilnehmer des Chats. Alle diese Felder lassen sich in der Erweiterung ändern. Ob die Opfer die mobile App oder WhatsApp Web benutzen, spielt dabei keine Rolle.

Es ist nicht das erste Mal, dass Sicherheitsforscher Schwächen in WhatsApp finden. Die Lücken auszunutzen, ist aber in der Regel schwierig und nur in sehr speziellen Situationen für einen Angreifer sinnvoll. Nutzer, die keinem besonderen Überwachungsrisiko ausgesetzt sind, profitieren weiterhin von der Ende-zu-Ende-Verschlüsselung des Messengers, die verhindert, dass Unbefugte eine Nachricht mitlesen können.

Oded Vanunu, Chef der Sicherheitsforschungsabteilung bei Check Point, sagt im Gespräch mit dem SPIEGEL: "Wir sagen nicht, dass WhatsApp eine schlechte App ist. Es ist sogar eine sehr gute App. Aber wir wollen mit unserer Veröffentlichung darauf hinweisen, dass es wichtig sein kann, sehr genau hinzusehen, wenn man eine aufrührende Nachricht bekommt."