Eine Backdoor in der WhatsApp-Verschlüsselung?

newsthum_fb_whatsapp.jpg

WhatsApp ist der meistgenutzte Messengerdienst der Welt. Über eine Milliarde User können über die App oder im Browser miteinander chatten. Seit einigen Monaten geht das auch Ende-zu-Ende verschlüsselt. Allerdings gibt es seit einigen Wochen Gerüchte über eine Backdoor, also eine absichtlich eingebaute Schwachstelle in der Implementierung dieser Verschlüsselung. Im Zuge des Data Privacy Day (Europäischer Datenschutztag), an dem auf die Wichtigkeit von Datenschutz und Privatsphäre aufmerksam gemacht wird, wirft BEE SECURE einen Blick auf die vermeintliche Backdoor bei WhatsApp. Verschlüsselte Kommunikation soll im Normalfall dafür sorgen, dass niemand außer dem gewünschten Empfänger die Botschaft lesen kann – weder Geheimdienste, Hacker noch sonst Unbefugte. Sie ist also ein meistens ein Garant für Datenschutz.

Zuerst müssen wir verstehen, was die Schwachstelle in der WhatsApp-Verschlüsselung ausmacht. Bei der Art und Weise, wie WhatsApp Nachrichten verschlüsselt, muss jeder User über einen öffentlichen Schlüssel verfügen. Dieser muss mit jedem anderen User ausgetauscht werden, bevor gemeinsam verschlüsselt kommuniziert werden kann. Dieser Austausch funktioniert bei WhatsApp automatisch. Manchmal muss der Schlüssel gewechselt werden, zum Beispiel bei einem abrupten Verbindungsabbruch. Genau dieses Erneuern von Schlüsseln nutzt die Backdoor aus. Standardmäßig ist WhatsApp so eingestellt, dass neuen Schlüsseln automatisch vertraut wird. Wenn eine Nachricht schon weggeschickt, aber noch nicht beim Empfänger angekommen ist, werden die Nachrichten mit dem neuen Schlüssel nochmal verschlüsselt. Damit wäre es für WhatsApp und eventuell auch für Geheimdienste möglich, den Inhalt verschlüsselter Nachrichten zu lesen, ohne dass der User dies bemerkt. Eine solche Attacke wird „Man-in-the-Middle“-Attacke genannt.

Die Schwachstelle in der Implementierung der Verschlüsselung ist aber kein Bug. Facebook – die Firma, der WhatsApp gehört, hat verlautbart, sich dem Problem bewusst zu sein und es vielleicht in Zukunft zu beheben. Aktuell wird jedoch nicht aktiv an einer Lösung gearbeitet. Auch verschiedene andere Experten schrieben, die Schwachstelle sei kein Bug, sondern eher ein Feature. Auch Open Whispers, die Entwickler des Signal-Messengers, der die gleiche Verschlüsselung benutzt, haben sich zu Wort gemeldet. Signal habe die Schwachstelle zwar nicht, sie gingen bei WhatsApp aber nicht von einer Backdoor aus. Vielmehr sei das Verhalten der App so eingestellt, um User möglichst wenig zu beunruhigen. WhatsApp selbst gab an, keine Hintertüren für Geheimdienste bereit zu stellen. Allerdings ist es in den meisten Fällen verboten, über solche Deals mit Geheimdiensten überhaupt zu reden (Stichwort: „gag order“).

Es ist bei WhatsApp möglich, die öffentlichen Schlüssel seiner Kommunikationspartner anzusehen und sie miteinander zu vergleichen. Allerdings besteht keine Möglichkeit, herauszufinden, ob eine Unterhaltung in der Vergangenheit kompromittiert war. Um sich gegen „Man-in-the-Middle“-Attacken zu schützen, können die „security notifications“ eingeschalten werden. In diesem Fall wird man benachrichtigt, wenn der Schlüssel sich ändert. Um sicherzugehen, dass die Unterhaltung nicht gekapert wurde, müssten neue Schlüssel dann jedes Mal über einen anderen Kommunikationsweg überprüft werden.

Fazit: Wir wissen nicht hundertprozentig, ob die Schwachstelle in der Implementierung der Verschlüsselung bei WhatsApp eine absichtlich eingebaute Schwachstelle ist – oder aber nur ein Feature, um Nutzer möglichst wenig mit der komplizierten Verschlüsselung zu verwirren. Bezüglich WhatsApp bestehen aber eine ganze Reihe anderer Datenschutzbedenken, vor allem im Zusammenhang mit dem Datenaustausch mit Facebook. Es lohnt sich deswegen, sich nach sichereren Alternativen zu WhatsApp umzuschauen: BEE SECURE hat dazu einen Artikel und einen Podcast veröffentlicht.

Quellen: