Der britische Guardian berichtet von einer angeblichen Sicherheitslücke in WhatsApp, die der Sicherheitsforscher Tobias Boelter entdeckt hat. Dieser hatte sie auch schon auf der Konferenz 33C3 in Berlin präsentiert.

Eigentlich verwendet WhatsApp eine Ende-Zu-Ende-Verschlüsselung, die es niemanden außer dem Empfänger ermöglichen soll, die Inhalte unverschlüsselt zu lesen. WhatsApp verwendet dazu das Protokoll von Signal in einer eigenen Implementierung.
Boelter zufolge existiert die Schwachstelle in dieser Form nur auf WhatsApp, Signal – auf dem die Implementierung beruht – sei nicht betroffen. Dort würden nicht zugestellte Nachrichten nicht automatisch neu übermittelt und auch der Hinweis auf einen neuen Schlüssel werde deutlicher und rechtzeitig eingeblendet.

Die bereits seit Monaten bekannte Schwachstelle im WhatsApp-Messenger soll es dem Unternehmen ermöglichen, unter Umständen Einblick in die Ende-zu-Ende verschlüsselten Nachrichten erhalten zu können. Tobias Boelter von der University of California hatte den verantwortlichen Mechanismus nach eigenen Angaben schon im April 2016 an Facebook gemeldet und auf seinem Blog öffentlich gemacht. Ende Mai habe ihm der Mutterkonzern von WhatsApp mitgeteilt, dass man den Sachverhalt kenne, aber das gegenwärtig nicht ändern wolle. Dann stellte er ihn auf dem 33C3 in Hamburg kurz vor, eine breitere Öffentlichkeit erreichte das aber nun erst durch einen Bericht des britischen Guardian.

Bug oder Hintertür?
Inzwischen hat WhatsApp auf die Vorwürfe des Guardian reagiert und sie zurückgewiesen. Es handle sich um eine „Design-Entscheidung“, die verhindere, dass Millionen von Nachrichten verloren gingen. Die Sicherheitshinweise würden Nutzer auf mögliche Risiken hinweisen. Man gebe Regierungen keine „Hintertür“ und würde jegliche diesbezügliche Forderung bekämpfen.In Bezug auf die Implementierung der Verschlüsselung sei man ebenso transparent wie in Bezug auf Überwachungsanordnungen.

Auch Tobias Boelter hat sich in einem neuen Blogeintrag geäußert. Für ihn sieht das Verhalten nicht nach einer geplanten Hintertür aus, denn die wäre sicher offensichtlicher ausgefallen. Stattdessen handle es sich wohl eher um einen einfachen Programmierfehler, der aber eben nie behoben wurde.

Wir können nur hoffen, dass Facebook diesen Fehler so schnell als möglich korrigiert.

(Quelle: heise, maclife und andere)