Angebliche Backdoor: Kryptographen kritisieren Whatsapp-Bericht des Guardian
Eine Gruppe von Aktivisten und renommierten Kryptologen hat die Berichterstattung des Guardian(öffnet im neuen Fenster) über eine angebliche 'Backdoor' in Whatsapp als unverantwortlich kritisiert(öffnet im neuen Fenster) . Der Guardian und der Sicherheitsforscher Tobias Boelter würden mit ihren Veröffentlichungen dazu beitragen, Menschen zu verunsichern und diese dazu zu bringen, weit unsicherere Alternativen wie SMS oder den Facebook-Messenger zu nutzen.
Die Gruppe umfasst die Kryptologen Bruce Schneier und Matthew Green sowie zahlreiche weitere Kryptologen. Auch andere bekannte Sicherheitsforscher wie Filippo Valsorda, Thomas Ptacek, Kenneth White und Jonathan Zdiarski haben sich der von der türkischstämmigen Technik-Soziologin und Autorin Zeynep Tufekci angestoßenen Erklärung angeschlossen(öffnet im neuen Fenster) .
Die Gruppe schreibt, die Wortwahl des Guardian entspreche der Behauptung von Impfgegnern. Denn auch wenn Impfstoffe in einigen wenigen Fällen Todesfälle verursachen würden, würden sie Millionen Menschenleben retten.
Schwachstelle und keine Hintertür
Die in dem Guardian-Artikel beschriebene Schwachstelle sei keine Hintertür, es handele sich um eine nachvollziehbare Designentscheidung. Diese Begründung hatte auch Whatsapp nach der Veröffentlichung verwendet. Tatsächlich verwendet Whatsapp ein anderes Verfahren als der Kryptomessenger Signal. Wenn Nutzer bei Signal die App neu installieren oder ein neues Smartphone nutzen, werden Nachrichten zunächst nicht zugestellt. Dabei können aber Nachrichten verloren gehen.
Dies sei ein Verhalten, das einer technisch versierten Nutzergruppe mit Verweis auf die Sicherheit vermittelt werden könne. Bei einem von mehr als einer Milliarde Menschen verwendeten Messenger mit weniger technischer Nutzergruppe sei dies nicht ohne weiteres möglich. Jede App müsse sich entscheiden, wie sie diesen Fall handhaben will, heißt es in dem Brief.
Seit die Story publiziert worden sei, höre man von verunsicherten Aktivisten, Journalisten und anderen Menschen, die Whatsapp genutzt hätten und nun zu unsicheren Diensten wie SMS oder zum Facebook-Messenger wechseln würden. Dies sei aber für die meisten Nutzer weder sinnvoll noch notwendig.
Schwachstelle in der Realität kaum ausnutzbar
Denn die beschriebene Schwachstelle sei überdies nicht als kritisch einzustufen und kaum ausnutzbar, um Menschen zu überwachen. Nur im Falle eines neuen Gerätes oder bei einer Neuinstallation der App sei es möglich, eine oder mehrere nicht gesendete Nachrichten abzufangen. Wenn die Nutzer die Warnung für einen geänderten Schlüssel aktivieren, würden sie außerdem eine Warnung bekommen, wenn auch nach dem Versand der Nachricht. "Whatsapp schützt effektiv vor Massenüberwachung. Individuelle, gezielte Angriffe von mächtigen Gegnern, die gewillt sind, eine einzelne Person zu kompromittieren, sind eine andere Form von Bedrohung" , heißt es in der Erklärung.
Wenn dies der eigenen Gefährdungsprognose ("Threat Model") entspreche, sei es "unverantwortlich" , einfach nur Signal als Ersatz vorzuschlagen. In vielen Kontexten würde Signal einzelne Nutzer als Aktivisten "markieren" und sei daher nicht in jedem Fall ein guter Ersatz für eine App mit breiter Nutzerschaft.
"Euer leichtfertiger, kontextloser Artikel nimmt einen mythischen, Snowden-ähnlichen Charakter an, der einem mächtigen, mit vielen Ressourcen ausgestatteten Gegner gegenübersteht und für den Whatsapp keine gute Wahl sei" . Von dieser Warte ausgehend würde der Guardian annehmen, dass Whatsapp keine sichere Wahl für die mehr als eine Milliarde Nutzer sei.
Schlechte Recherche?
Die Gruppe wirft den Autoren des Artikels außerdem schlechte Recherche vor, weil keine Sicherheitsforscher für den Artikel befragt worden waren. Auch Open Whispersystems hatte kritisiert, dass der zuständige Guardian-Redakteur die Entwickler des bei Whatsapp verwendeten Protokolls nicht befragt habe. Der Guardian solle die Story daher offiziell zurückziehen und sich entschuldigen.
Der Sicherheitsforscher Tobias Boelter verteidigt seine Entdeckung nach wie vor. Dem staatlichen russischen Propagandasender Russia Today(öffnet im neuen Fenster) sagte er, er sei sich zunächst nicht sicher gewesen, ob es sich um eine Backdoor handele oder nicht. Aber: "Als ich dies im letzten Jahr entdeckt hatte, dachte ich, es handelt sich nur um eine Sicherheitslücke, wie sie jede Woche vorkommen. Aber nachdem ich die Schwachstelle an Facebook gemeldet habe, haben sie entschieden, das nicht zu reparieren. Das wirft natürlich Fragen auf." Auch im Guardian reagierte Boelter auf die Kritik(öffnet im neuen Fenster) .
Natürlich gibt es viele gute Gründe, Whatsapp nicht zu benutzen, zum Beispiel den umstrittenen , wenn auch vorübergehend ausgesetzten Datenaustausch mit Facebook. Die Veröffentlichung des Guardian sollte jedoch nicht dazu zählen.