Verschlüsselung umgangen

Forscher finden Sicherheitslücke bei WhatsApp

Forscher haben herausgefunden, wie die Verschlüsselung bei Gruppenchats theoretisch umgangen werden kann und heimlich neue Mitglieder beitreten könnten. Das Problem ließe sich einfach beheben.
Kommentieren
Whatsapp: Forscher finden Sicherheitslücke Facebook-Tochter
Whatsapp

Forscher haben entdeckt, dass Whatsapp eine Sicherheitslücke in seiner Verschlüsselung aufweist. (Foto: dpa)

DüsseldorfManchmal kommt Ärger von ganz unerwarteter Stelle: Für WhatsApp dieser Tage aus dem Ruhrgebiet. Die IT-Wissenschaftler Paul Rösler, Christian Mainka und Jörg Schwenk von der Bochumer Ruhr-Universität wollen in einer Untersuchung herausgefunden haben, dass WhatsApp eine Sicherheitslücke in seiner Verschlüsselung aufweist. Theoretisch wäre es dadurch möglich, Mitglieder ohne Einladung und Kenntnis des Gruppenadministrators in eine Gruppe zu bringen. Damit wären die Kommunikation innerhalb des Gruppenchats offen für den Eindringling.

Forscher Rösler im Gespräch mit dem Handelsblatt: „Sowohl das Verändern von Statusmeldungen einzelner Nachrichten oder das komplette Entfernen von Kommunikation wäre dem Angreifer möglich. So könnte er sich so zumindest eine Zeit lang verbergen, wenn zum Beispiel Gruppenmitglieder seine Anwesenheit entdecken und daraufhin Fragen stellen.“ Damit könnte sich der Eindringling unkenntlich machen.

Rösler und seine Kollegen haben sich nicht nur WhatsApp, sondern auch die Dienste Threema und Signal angeschaut, die allerdings besser abschnitten als die Facebook-Tochter. Ihre Erkenntnisse stellten die Forscher auf einer Sicherheitskonferenz in der Schweiz vor, auf die dann auch das US-amerikanische Tech-Magazin „Wired“ aufmerksam wurde.

Das sind die zehn größten Datenschutzsünden
Digitale Sünder
1 von 11

Jemand anderem die EC-Karten-Pin verraten, immer das selbe, einfallslose Passwort verwenden, das umstrittene Teilen von Kinderfotos über Facebook: Eine Forsa-Umfrage hat ermittelt, wie häufig welche Fahrlässigkeiten beim Datenschutz vorkommen. Dabei geben 27 Prozent an, ganz ohne Sünde zu sein. Die größte Gruppe stellen hier mit 43 Prozent die über 60-Jährigen – mit sinkendem Alter nimmt die Prozentzahl der Sündenlosen ab. Bei den 45- bis 59-Jährigen sind es noch 28 Prozent, dann folgen die 30- bis 44-Jährigen (18 Prozent) und von den 18- bis 29-Jährigen sind nur zehn Prozent ohne Sünde. Die Frauen (30 Prozent) stehen besser da als die Männer (24 Prozent). Doch wo wird am meisten gesündigt?

Quelle: Forsa-Studie „Die größten Sünden 2015 – Teil 5: Datensicherheit“ im Auftrag der Gothaer

Platz 10: Auf Spam-Mail antworten
2 von 11

Aus Versehen auf die Mail von zwielichtigen Absendern, die auf krumme Geschäfte hoffen, geantwortet – das ist doch jedem schon einmal passiert, oder? Ein Prozent der Befragten haben auf eine Spam-Mail geantwortet – vor allem machen das Männer im Alter von 45 bis 59 Jahren oder über 60 Jahre.

Platz 9: Einen Flug auf einem unbekannten Portal buchen
3 von 11

Die Seite sieht aus wie mit Paint gemalt und liest sich wie frisch von Google übersetzt, aber dafür kostet der Flug nach New York und zurück auf auch nur 200 Euro. Gut, vielleicht ein leicht überzogenes Beispiel. Dennoch: Drei Prozent der Befragten haben sich schon einmal durch günstige Preise dazu hinreißen lassen, einen Flug auf einem unbekannten Portal zu buchen. Vor allem bei den Unter-30-Jährigen sind derartige Seiten beliebt (acht Prozent).

Platz 8: E-Mail-Anhang von Unbekannten öffnen
4 von 11

Vertrauen Sie keinen E-Mail-Anhängen von unbekannten Absendern. Denn öffnen Sie auch nur einen falschen Anhang, kann ihr Computer schon infiziert sein. Insgesamt fünf Prozent haben bereits diesen Fehler gemacht. „Dateianhang nicht öffnen“ lautet hier die Devise.

Platz 7: Anderen Personen die Pin verraten
5 von 11

Auffällig ist, dass vor allem junge Menschen zwischen 18 und 29 Jahren besonders fahrlässig mit Daten umgehen. Den Pin-Code, für das Smartphone zum Beispiel, verraten 13 Prozent anderen Menschen (gesamt: sechs Prozent).

Platz 6: Virenscanner abbrechen
6 von 11

Wenn man keine Anti-Virus-Software verwendet oder diese nicht regelmäßig aktualisiert, ist das System ungeschützt vor Hackern. Auch weil es oft zu schnell gehen soll: Zwölf Prozent der Jüngeren (18 bis 29 Jahre) haben schon einmal den Virenscan abgebrochen, weil er zum Beispiel ihren Computer verlangsamte (gesamt: sieben Prozent).

Platz 5: Kinderbilder in sozialen Netzwerken teilen
7 von 11

Wenn Eltern unbekümmert Bilder ihrer Kinder in sozialen Netzwerken posten, kann das gefährlich werden. Zehn Prozent der Befragten scheinen sich dieser Gefahr nicht bewusst zu sein.

Um einen Teilnehmer in eine Gruppe zu schleusen benötigt der Angreifer die Kontrolle über einen WhatsApp-Server. Dort würden die Teilnehmer einer Gruppe verwaltet, erklärt Rösler: „Erlangt jemand Kontrolle darüber, kann der Teilnehmer hinzufügen.“

Rösler sieht die Gefahr nicht bei Hackern, sondern viel eher bei Behörden oder Geheimdiensten, wenn zum Beispiel der Anbieter zur Kooperation verpflichtet wird. „Und je größer die Gruppe, desto länger kann es dauern, bis der Eindringling entdeckt wird“, so der Forscher.

Zudem merkt Rösler an, dass die Ende-zu-Ende Verschlüsselung in Gruppen fast sinnlos sei, wenn sie vom Protokoll nicht unterstützt werde: „Und da Ende-zu-Ende Verschlüsselung genau vor Angreifern wie Staaten, Providern oder Polizei schützen soll, ist es nicht so schön, dass gerade diese in Gruppen nicht erfolgreich ausgeschlossen werden.“

„Wired“ konfrontierte auch die Facebook-Tochter mit den Ergebnissen. Die nimmt die Erkenntnisse ernst, verweist jedoch darauf, dass jedes neue Mitglied mit einer Meldung innerhalb einer Gruppe bekannt gemacht wird. Auch gegenüber dem Handelsblatt sagt das Unternehmen, dass man den Dienst so gebaut habe, dass Gruppennachrichten nicht an versteckte Nutzer geschickt werden könnten. Privatheit und Sicherheit der Nutzern seien sehr wichtig für WhatsApp, weshalb man auch so wenig Informationen sammele und alle Nachrichten verschlüssele.

Eine wirklich nachhaltige Methode zur Überwachung sei es natürlich nicht, so Rösler, irgendwann würde der Angreifer auch in einer größeren Gruppe bemerkt. Ihm und seinen Forscherkollegen ginge es vor allem darum, diese Sicherheitslücke kenntlich zu machen, um den Anbieter zu warnen. Das Problem ließe sich einfach beheben, meint er. WhatsApp sieht das Ganze wohl nicht als wirkliche Bedrohung, schließlich qualifizierten sich die Erkenntnisse nicht für das Bug-Bounty-Programm der Konzernmutter Facebook, bei dem an den Entdecker von Sicherheitslücken eine Belohnung bezahlt wird.

Der Kryptographie-Professor Matthew Green von der Johns Hopkins Universität sagte jedoch gegenüber „Wired“, dass er die Lücke für ziemlich verkorkst halte. Es wäre wie die Eingangstür einer Bank offen zu lassen und dann zu sagen, dass keiner einbrechen werde, weil es doch eine Sicherheitskamera gäbe. Das sei dumm.

Startseite

Mehr zu: Verschlüsselung umgangen - Forscher finden Sicherheitslücke bei WhatsApp

0 Kommentare zu "Verschlüsselung umgangen: Forscher finden Sicherheitslücke bei WhatsApp"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%