Kein stilles Mitlesen möglich Wirbel um WhatsApp-Sicherheitslücke in Gruppenchats

vom 13.01.2018, 11:07
WhatsApp
Bildquelle: Check Point

Eine neue Sicherheitslücke, die den WhatsApp-Messenger betrifft, hält die Community in Atem. Ein Team aus Sicherheitsforschern hat eine Server-Sicherheitslücke entdeckt und diese vorgestellt. Die Forschung ist löblich, der Lärm, der um die Sicherheitslücke im Nachgang gemacht wird, allerdings nicht notwendig. Die Redaktion klärt auf.

Ein Forscherteam der Ruhr-Universität in Bochum hat die neue Sicherheitslücke entdeckt, bei der ungewünschter Server-Zugang durch Gruppenchats erlangt werden kann. Der entdeckte und öffentlich gemachte Zugang kann genutzt werden, um sich in Gruppenchats einzuklinken und sämtliche, ab dem Eintritt verschickte Nachrichten mitlesen.

Über die Möglichkeit dieses Szenarios wurde übereinstimmend in mehreren Medien berichtet, zuerst verkündete Wired die schlechte Nachricht einem breiteren Publikum. Demnach liege das Problem in der Ende-zu-Ende-Verschlüsselung, die WhatsApp vor rund zwei Jahren einführte. Die Nachrichten innerhalb der WhatsApp-Server seien so zwar verschlüsselt, allerdings könnten Hacker hinter diese Verschlüsselung geraten und sich in die Reihe der Empfänger der Nachrichten einreihen – quasi ein Mitglied der Gruppe sein. Aus diesem Grund ist diese neue Sicherheitslücke auch nur für Gruppen-Chat-Nutzer eine theoretische Gefahr.

Wissenschaft, Theorie und Praxis: Warum die WahtsApp-Sicherheitslücke quasi nicht besteht

Nun kommt der Haken: Diese Sicherheitslücke ist nur dann ausnutzbar, wenn der Hacker die Kontrolle über WhatsApp-Server, also den heiligen Gral des Messengers übernimmt. Die Forscher der Uni Bochum haben dies in ihren Ausarbeitungen auch kommuniziert. So könnte jemand, der die WhatsApp-Server kontrolliert, eigenmächtig Empfänger in Gruppenchats einschleusen – ohne Kenntnis des oder der Gruppenadministratoren. Die Forscher kritisieren, dass die Server bei WhatsApp nicht vertrauenswürdig sein könnten, wenn theoretisch jeder Mitarbeiter im Kontrollbereich des Unternehmens Gruppenchats verwalten könnte. Allerdings wird die Tragweite nicht wirklich eingeschätzt, was auch nicht Teil der Forschung war.

Die Sicherheitslücke kann rein theoretisch ausgenutzt werden, allerdings würde jedes Mitglied der WhatsApp-Gruppe sehen, dass ein neues Mitglied in die Gruppe eingeladen wurde. Ein Gruppen-Admin könnte diesen neuen Nutzer auch wieder entfernen. Ein stilles Mitlesen oder Mitschneiden von gesendeten Nachrichten ist schlichtweg nicht möglich. Viele Berichte um die WhatsApp-Sicherheitslücke haben dies suggeriert. Alex Stamos, CSO bei der WhatsApp-Mutter Facebook, meldete sich gleich bei Twitter zu Wort und versuchte die Wogen zu glätten. Stamos verwies auf die Mechanismen von Gruppen-Chats und auf die von außen wirkende Ende-zu-Ende-Verschlüsselung.

Forscher vergleichen WhatsApp mit Threema

Das Forscherteam der Bochumer Universität hatte die Beobachtungen nicht nur bei WhatsApp angestellt, sondern auch die Server- und Funktions-Struktur der Server von Konkurrenz-Messenger Threema unter die Lupe genommen. Hier ergab sich – und auch das ist Teil der ganzen Wahrheit - dass Threema diese Server-Kontroll-Macht nicht bietet.

WhatsApp: Selbstgemachte GIFs versenden ›


Bildquelle kleines Bild: inside-handy.de | Autor: Michael Stupp
News bewerten:
 
7 / 10 - 3Stimmen

Themen dieser News: WhatsApp, Apps & Software, Facebook, Internet & Digitale Welt, Unternehmen und Märkte

Kommentar schreiben


 
 
VERWANDTE NEWS

alle News ansehen