WhatsApp: Schwere Sicherheitslücke in Gruppenchats entdeckt

Danach können sie alle neuen Nachrichten innerhalb einer Gruppe mitlesen, ältere Nachrichten bleiben aber unlesbar.

Wie Wired berichtet, haben Forscher der Ruhr-Universität Bochum auf der Real World Crypto Sicherheitskonferenz in Zürich eine Sicherheitslücke bei der Whatsapp-Verschlüsselung offengelegt: Dabei genügt offenbar der Zugriff auf die Server von Whatsapp, um Zugriff auf Gruppenchats innerhalb der Nachrichten-App zu erhalten.

Bisher gibt es keinen bekannten Fall eines gehackten oder von einer Regierung kontrollierten WhatsApp-Servers. Der Messenger Signal, der grundsätzlich auf die gleiche Art und Weise verschlüsselt, weist das beschriebene Problem nicht auf: Um dort Mitglieder in Gruppenchats zu schleusen, bräuchte es nicht nur Kontrolle über den Server, sondern auch die geheime Gruppen-ID, die sich nicht ohne direkten Kontakt zu einem der Gruppenmitglieder herausfinden lässt. WhatsApp habe bei der Untersuchung am schlechtesten abgeschnitten.

In einer perfekten Welt ist Ende-zu-Ende-Verschlüsselung ein simples Prinzip ohne Wenn und Aber: Nur Sender und Empfänger können eine Nachricht lesen.

Stamos wiederum kritisierte den Bericht mit der Begründung, dass es mehrere Möglichkeiten gebe, Mitglieder des Gruppen-Chats zu überprüfen und zu verifizieren.

Vergrößern Durch eine Sicherheitslücke könnten Gruppen um neue Nutzer erweitert werden.

WhatsApp-Nutzer können sich jedoch insofern in Sicherheit wiegen, als dass der Zugriff zu dem zentralen WhatsApp-Server kaum möglich ist. Zwar werden die Mitglieder von Gruppen-Chats über Neuzugänge informiert. Sind Nutzer oder Admins skeptisch und können die neue Person nicht identifizieren, sollte man sich in einem Zweier-Chat untereinander versichern, dass keiner diese Person hinzugefügt hat und es sich möglicherweise um einen Hacker handelt. Es sei jedoch möglich, dass versierte Hacker diesen kompromittieren könnten. Jeder, der darauf klickt, wird automatisch zur Gruppe hinzugefügt. "Wenn es eine Ende-zu-Ende-Verschlüsselung für Gruppen- und Zweierchats gibt, dann sollte diese das unerlaubte Hinzufügen von neuen Mitgliedern verhindern". Entsprechend interessant ist der Service für Betrüger und Datensammler, die in den Millionen Nachrichten, die täglich verschickt und empfangen werden, ein großes Potenzial sehen. Und das trotz der Ende-zu-Ende-Verschlüsselung von WhatsApp. Bei Threema gab es eine andere Schwachstelle, die bereits behoben wurde.


Beliebt

VERBINDEN