Schlüsselaustausch: Aufregung um angebliche Whatsapp-Backdoor

Hat Whatsapp eine Backdoor? Das behaupten zumindest ein Sicherheitsforscher und der Guardian. Tatsächlich könnte es auch eine weniger spektakuläre Erklärung geben.

Artikel von veröffentlicht am
Bei Whatsapp gibt es eine Schwachstelle - aber eher keine Backdoor.
Bei Whatsapp gibt es eine Schwachstelle - aber eher keine Backdoor. (Bild: Lionel Bonaventure/AFP/Getty Images)

In der Verschlüsselung von Whatsapp gibt es eine Backdoor - so berichtet es zumindest die britische Zeitung The Guardian unter Berufung auf den Sicherheitsforscher Tobias Boelter. Boelter hatte seine Erkenntnisse zur Verschlüsselung von Whatsapp bereits in einem Lightning-Talk bei der Hackerkonferenz 33C3 vorgestellt [Folien als PDF]

Inhalt:
  1. Schlüsselaustausch: Aufregung um angebliche Whatsapp-Backdoor
  2. Hintertür für Regierungen?

Whatsapp ist demnach in der Lage, einen Austausch des Schlüsselmaterials zu forcieren, wenn ein Nutzer offline ist. Fehlerhaft gesandte Nachrichten würden dann erneut zugestellt. Nutzer bekommen davon in der Standardeinstellung nichts mit, die Nachrichten könnten dann von Whatsapp mitgelesen werden.

Unklar ist, ob es sich um eine absichtlich platzierte Schwachstelle handelt - oder ob hier nicht ein nachvollziehbarer Tradeoff zwischen Sicherheit und Nutzerfreundlichkeit vorliegt. Whatsapp nutzt seit dem vergangenen Jahr das Signal-Protokoll, das derzeit als fortschrittlichste Lösung für verschlüsseltes Instant-Messaging gilt. Signal bietet Perfect Forward Secrecy, das bedeutet, dass alte Nachrichten auch dann nicht entschlüsselt werden können, wenn ein Angreifer in den Besitz des Schlüsselmaterials gelangt.

Nach Angaben von Boelter kann Whatsapp einen Schlüsselaustausch forcieren, wenn einer der Nutzer (Alice) offline ist. Sendet ein anderer Nutzer (Bob) dann eine Nachricht, wird diese nicht mit einer Fehlermeldung quittiert, sondern trotzdem übertragen. Dabei wird das neue, möglicherweise kompromittierte Schlüsselmaterial verwendet.

Nachrichten könnten mitgelesen werden

Stellenmarkt
  1. SW-Integrator für embedded Chassis Systeme (m/w / divers)
    Continental AG, Frankfurt am Main
  2. Chief Architect (m/f/d)
    Elektrobit Automotive GmbH, verschiedene Standorte (Home-Office möglich)
Detailsuche

Damit könnten Nachrichten durch den Dienstebetreiber mitgelesen werden, die Ende-zu-Ende-Verschlüsselung wäre dann hinfällig. Whatsapp versendet anders als Signal standardmäßig keine Warnmeldungen, wenn die Schlüssel ausgetauscht werden. Tatsächlich dürften solche Warnmeldungen einen Großteil der Nutzer überfordern. Selbst wenn Nutzer die Warnung in den Whatsapp-Einstellungen aktivieren, wird die Warnmeldung erst angezeigt, nachdem die Chatnachricht mit dem neuen Schlüsselmaterial übertragen wurde.

Boelter schreibt aber, dass Whatsapp-Betreiber Facebook darüber hinaus auch auf ältere Nachrichte zugreifen könne. Dazu würden einfach ältere auf dem Smartphone vorhandene Nachrichten im Hintergrund erneut gesendet. Damit könnte die Perfect-Forward-Secrecy ausgehebelt werden, denn Whatsapp hätte im Normalfall nur Zugriff auf die mit dem privaten Schlüssel des Smartphones verschlüsselten Datenpakete. Unklar ist, ob das auch wirklich geschieht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Hintertür für Regierungen? 
  1. 1
  2. 2
  3.  


FreiGeistler 20. Jan 2017

Du meinst: Weil, verifizierbar ist das nicht. Davon abgesehen; david_krieger, lear...

Anonymer Nutzer 17. Jan 2017

Schon, aber es bleibt keine Wahl derzeit. Wichtig wäre Flexibilität hinein zu bekommen...

Anonymer Nutzer 17. Jan 2017

Die Leute sollen sich gerade so sicher fühlen, dass sie nicht umsteigen. Das bedeutet...

ibsi 16. Jan 2017

Sie machen ja Kapital. In Form von Werbung (schau mal wie viel von Googles Gewinn durch...



Aktuell auf der Startseite von Golem.de
Elektroauto
ID.3-Konkurrent MG4 kommt Ende 2022 nach Europa

MG Motor bringt sein kompaktes Elektroauto MG4 Electric nach Europa. Im vierten Quartal 2022 erscheint das Fahrzeug.

Elektroauto: ID.3-Konkurrent MG4 kommt Ende 2022 nach Europa
Artikel
  1. Playstation Plus im Test: Die Ära der Spielabos ist endgültig angebrochen!
    Playstation Plus im Test
    Die Ära der Spielabos ist endgültig angebrochen!

    Mit PS Plus gibt es nun Spieleabos für (fast) alle Plattformen. Eines ist beim insgesamt guten, aber konfusen Angebot von Sony aber noch offen.
    Von Peter Steinlechner

  2. Cortex-X3, Cortex-A715, Cortex-A510 v2: ARMs Dodeca-CPUs verzichten auf 32 Bit
    Cortex-X3, Cortex-A715, Cortex-A510 v2
    ARMs Dodeca-CPUs verzichten auf 32 Bit

    Bis zu zwölf Kerne, bis zu 22 Prozent schneller und bis zu 20 Prozent effizienter: ARMs Cortex-Generation für 2022 legt kräftig zu.
    Ein Bericht von Marc Sauter

  3. Elektroautos: Tesla hat offenbar zu wenig Platz für Homeoffice-Rückkehrer
    Elektroautos
    Tesla hat offenbar zu wenig Platz für Homeoffice-Rückkehrer

    Tesla holt seine Angestellten mit Drohungen aus dem Homeoffice zurück - hat im Büro aber gar nicht genügend Platz für alle.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Top-TVs bis 57% Rabatt • PS5 bestellbar • MindStar (Palit RTX 3080 Ti 1.099€, G.Skill DDR5-5600 32GB 189€) • Lenovo 34" UWQHD 144 Hz günstig wie nie: 339,94€ • Corsair Wakü 236,89€ • Top-Gaming-PC mit AMD Ryzen 7 RTX 3070 Ti 1.700€ • Alternate (Team Group SSD 1TB 119,90€)[Werbung]
    •  /