Whatsapp: Forscher entdecken Sicherheitslücke in Gruppenchats

  • WhatsApp

  • HotPi
  • 1232 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Whatsapp: Forscher entdecken Sicherheitslücke in Gruppenchats

    Server-Schwachstelle
    Whatsapp: Forscher entdecken Sicherheitslücke in Gruppenchats
    Ein Forscherteam aus Bochum hat herausgefunden, dass in WhatsApp Sicherheitslücken für Gruppenchats bestehen. Facebook wiegelt ab.

    Ein Forscherteam der Ruhr-Universität in Bochum hat eine Sicherheitslücke für Gruppenchats in WhatsApp entdeckt und diese auf der Sicherheitskonferenz Real World Crypto in Zürich vorgestellt. Das berichtet das Technik-Magazin Wired. Seit WhatsApp vor etwa zwei Jahren die Ende-zu-Ende-Verschlüsselung eingeführt hat, ist der Messengerdienst zwar sicherer geworden, doch es gebe dennoch Sicherheitsmängel, die es ermöglichen, dass Fremde sich in eine Gruppenunterhaltung in WhatsApp einklinken könnten. Alle Nachrichten, die ab dem Zeitpunkt des Eintritts in die Gruppe verschickt werden, würden dann für den Hacker lesbar.

    Das Problem liegt laut dem deutschen Forscherteam bei den Servern. Wer auch immer diese kontrolliert, kann ohne Mühen ein neues Mitglied in eine Gruppenunterhaltung schleusen - auch ohne die Zustimmung des Gruppenadministrators, der solche Aktionen normalerweise kontrolliert.

    Paul Rösler von der Ruhr-Universität wird mit der Aussage zitiert: "Die Vertraulichkeit der Gruppe wird gebrochen sobald das unwillkommene Gruppenmitglied Zugriff zu all den neuen Nachrichten erhält und sie lesen kann", und weiter, "Wenn ich höre, dass es Ende-zu-Ende-Verschlüsselung sowohl für Gruppen als auch Zwei-Parteien-Unterhaltungen gibt, dann bedeutet das, dass es auch einen Schutz gegen das Hinzufügen neuer Mitglieder geben sollte. Und wenn nicht, dann ist der Wert der Verschlüsselung sehr gering."

    Nicht vertrauenswürdige Server sind ein Problem

    Um die Spionagemöglichkeiten in den Gruppenchats ausnutzen zu können, müsste sich ein Hacker zunächst Kontrolle über die WhatsApp-Server verschaffen. Allerdings haben etwa auch Angestellte von WhatsApp Zugang und es gibt Regierungen, die in der Vergangenheit bereits den Zugriff auf diese Server eingefordert haben. Ende-zu-Ende-Verschlüsselung bedeutet aber eigentlich, dass selbst ein Server, an dem Manipulation stattgefunden hat, Inhalte nicht preisgeben dürfte.

    Der Professor für Kryptographie an der John Hopkins Universität in Baltimore, Matthew Green, erklärt: "Wenn man ein System baut, bei dem alles darauf hinausläuft, dem Server zu vertrauen, dann kann man sich eigentlich auch gleich von der ganzen Komplexität verabschieden und die Ende-zu-Ende-Verschlüsselung vergessen. Es ist einfach ein totales Versagen. Dafür gibt es keine Entschuldigung."

    In den Augen der deutschen Forscher aus Bochum basiert die ganze Schwachstelle auf einem kleinen Bug. WhatsApp fordert keine einzelne Authentifizierung sobald ein neues Mitglied in eine Gruppe eingeladen wird. Aus diesem Grund kann der Server eine fremde Person in die Gruppenunterhaltung bringen und jedes Mitglied darin teilt dann Sicherheitsschlüssel mit dem Neuling, sodass dieser vollen Zugriff auf alle zukünftigen Nachrichten erhält. Ältere Nachrichten, die vor dem Gruppenbeitritt geschrieben wurden, bleiben jedoch vor dem Eindringling weiterhin verborgen.

    So reagierte Facebook auf die Vorwürfe

    Auch Alex Stamos, Chief Security Officer bei WhatsApp-Mutter Facebook hat den Artikel von Wired gelesen und lässt sich durch die Entdeckungen der Kryptologen nicht aus der Ruhe bringen. Auf Twitter nahm er Stellung zu dem Sicherheitsproblem.

    In seinen Tweets erklärt Stamos, jedes Gruppenmitglied würde sehen, sobald ein neuer Teilnehmer der Unterhaltung betritt. Jedes Gruppenmitglied erhielte eine Benachrichtigung. Besonders heimlich passiere dieser Spionageversuch also nicht. Auch geht Stamos noch einmal darauf ein, dass ältere Nachrichten, die vor dem Beitritt geschrieben wurden, nicht einsehbar sind.

    Stamos räumt ein, dass es sicherlich Wege gäbe, die Sicherheit von Gruppenchats zu verbessern, aber einfache Lösungen seien das nicht.
    Es bleibt abzuwarten ob und wann WhatsApp das Sicherheitsproblem bei Gruppenunterhaltungen in Angriff nimmt oder ob es weiterhin den Mitgliedern einer Unterhaltung überlassen bleibt, genau mitzuverfolgen, wer in eine Unterhaltung eingeladen wurde und von wem diese Einladung ausging.

    11.1.2018 von Annegret Mehlfeld


    Quelle: Whatsapp: Forscher entdecken Sicherheitslücke in Gruppenchats - connect