Digital
Forscher finden "dumme" Lücke bei WhatsApp
Trotz der Ende-zu-Ende-Verschlüsselung im Messenger: IT-Experten haben einen Weg gefunden, Gruppen-Chats bei WhatsApp zu infiltrieren.
Sicherheitsforscher der Ruhr-Universität im deutschen Bochum haben eine Schwachstelle im Messenger WhatsApp gefunden. Sie sagen, dass jeder, der die Server der App kontrolliert, neue Leute in private Gruppenchats einladen könne, ohne dass dafür Admin-Rechte erforderlich seien. Sobald sich eine neue Person im Gruppen-Chat befindet, teilt das Telefon jedes Mitglieds der Gruppe automatisch geheime Schlüssel mit der neuen Person und gibt den Zugriff auf alle zukünftigen Nachrichten frei, nicht aber auf vergangene. "Keinen geheimen Weg" "Die Privatsphäre der Gruppe ist kompromittiert, sobald das ungebetene Mitglied die neuen Nachrichten lesen kann", sagte Paul Rösler, einer der Forscher, zum Fachmagazin "Wired".
Alex Stamos, Chief Security Officer von Facebook, antwortete auf den Bericht via Twitter und sagte: "Das ist eine beängstigende Schlagzeile, aber es gibt keinen geheimen Weg in die Gruppen-Chats von WhatsApp."
Dem widerspricht der Journalist Andy Greenberg, der den Artikel bei "Wired" geschrieben hat. Er räumt zwar ein, dass für diese Spionagemethode jemand einen Server kontrollieren müsse. Es sei jedoch möglich, dass versierte Hacker diesen kompromittieren könnten. Auch Mitarbeiter von WhatsApp oder Regierungen, die das Unternehmen rechtlich dazu zwingen können, den Zugang zu gewähren, hätten eine solche Möglichkeit. Stamos wiederum kritisierte den Bericht mit der Begründung, dass es mehrere Möglichkeiten gebe, Mitglieder des Gruppen-Chats zu überprüfen und zu verifizieren. Er sagt, dass in diesem Fall ja alle Mitglieder eines Gruppenchats sehen könnten, wer teilnehme, und dass sie über alle Neuzugänge benachrichtigt würden. Tür zur Bank offen gelassen Das sei aber keine angemessene Lösung für das grundlegende Problem des Messengers, argumentiert Matthew Green, Professor für Kryptografie an der John-Hopkins-Universität. Er hat zuvor die Arbeit der deutschen Forscher geprüft. Wenn man ein System aufbaue, bei dem alles darauf ankomme, dem Server zu vertrauen, könne man genauso gut einfach auf die Komplexität verzichten und die Ende-zu-Ende-Verschlüsselung vergessen, sagt Green zu "Wired". "Es ist so, als würde man die Vordertür einer Bank offen lassen und dann sagen, dass niemand sie ausrauben wird, weil es ja Sicherheitskameras gibt." Das sei dumm. (20min)