WhatsApp widerspricht Hintertür – Sicherheits-Nachrichten aktivieren

Eine angebliche Hintertür zum Mitlesen von Nachrichten soll es bei WhatsApp nicht geben, teilte das Unternehmen mit. Auch der Entwickler des Sicherheitsprotokolls Signals dementiert Berichte darüber: „Verschlüsselung funktioniert so“.

Bild: Shutterstock

Sowohl WhatsApp als auch Whisper Systems, Entwickler des von WhatsApp verwendeten Verschlüsselungsprotokolls Signal, bezeichnen den entsprechenden Bericht von „The Guardian“ als falsch. Dieser hatte in der vergangenen Woche für Aufsehen gesorgt (apfelpage berichtete). Der Vorwurf: Eine Sicherheitslücke könne es WhatsApp ermöglichen, Nachrichten mitzulesen, ohne, dass der Nutzer davon erfährt.

Die angebliche Hintertür hat der Sicherheitsexperte Tobias Boelter entdeckt, der an der Universität von Kalifornien lehrt. WhatsApp sei in der Lage Crypto-Keys nach Belieben neu zu generieren, sofern der Empfänger einer Nachricht offline ist. Ohne das Wissen von Absender und Empfänger können noch nicht gelesene Nachrichten so erneut verschlüsselt und verschickt werden, als seien sie neue. Dies ermögliche WhatsApp das Abhören der Nachrichten.

Völlig normale Methode

WhatsApp entgegnet, dass dieses Vorgehen bei einer Verschlüsselung völlig normal sei. Die im Bericht beschriebene Funktion für den Umgang mit Offline-Nachrichten verhindere, dass Nutzer beim Wechsel ihres Geräts zu einem anderen Nachrichten verlieren würden. „Jedes Verschlüsselungssystem funktioniert so“, ergänzt auch der Entwickler des Signal-Protokolls Whisper Systems.

The fact that WhatsApp handles key changes is not a „backdoor,“ it is how cryptography works. Any attempt to intercept messages in transmit by the server is detectable by the sender, just like with Signal, PGP, or any other end-to-end encrypted communication system.

WhatsApp hätte den Nutzer zwar jedes Mal bestätigen lassen können, dass die Schlüsselnummer geändert wird, wenn der Empfänger offline ist. Dies sei aber wenig intuitiv, erklärt Whisper Systems. Stattdessen können sich Nutzer informieren lassen, sobald dies geschieht.

Sicherheits-Nachrichten aktivieren

Um die Benachrichtigung zu aktivieren, klickt in WhatsApp in die Einstellungen, dort auf Account, Sicherheit und anschließend „Sicherheits-Benachrichtigungen anzeigen“.

Sobald eure Sicherheitsnummer geändert wird, zeigt euch WhatsApp dies im Chat an:

Theoretisch wäre es WhatsApp also möglich, einen Angriff durchzuführen – das sei aber bei jedem Kommunikationssystem der Fall. WhatsApp würde damit jedoch riskieren, dass der User davon erfährt. Denn laut Whisper Systems wisse das Unternehmen nicht einmal, ob ein Nutzer die Sicherheits-Benachrichtigung aktiviert hat oder nicht.

While it is likely that not every WhatsApp user verifies safety numbers or safety number changes, the WhatsApp clients have been carefully designed so that the WhatsApp server has no knowledge of whether users have enabled the change notifications, or whether users have verified safety numbers.