Auf der diesjährigen Black-Hat-Konferenz demonstrierte ein Forscherteam live, dass Angreifer unter bestimmten Voraussetzungen Inhalt und Absender per WhatsApp verschickter Kurznachrichten auf verschiedene Arten verändern könnten.
Die Manipulationsmöglichkeiten, die die Forscher der Firma Check Point durch Analyse der verschlüsselten Datenübertragung zwischen WhatsApp-Client und -Server entdeckten, funktionieren nur unter eng gesteckten Voraussetzungen. Zum einen muss die browserbasierte Version des Messengers (WhatsApp Web) zum Einsatz kommen. Zum Anderen – und darin besteht die größte Hürde – muss der Angreifer zum Entschlüsseln und Manipulieren fremder Nachrichten zunächst an das für die Verschlüsselung von WhatsApp Web verwendete Schlüsselpaar gelangen.
Der Knackpunkt: Schlüsselklau
Die Ende-zu-Ende-Verschlüsselung sichert die Kommunikation der WhatsApp-Instanzen auf den Smartphones ab; sie ist von dem Ganzen nicht betroffen. Das erwähnte Schlüsselpaar sichert die Kommunikation zwischen WhatsApp Web im Browser und dem WhatsApp auf dem Smartphone des Anwenders (die Schlüssel werden durch den QR-Code beim Autorisieren des Web-Clients ausgetauscht).
Das bedeutet konkret: Ein WhatsApp-Nutzer kann im Normalfall nur seine eigenen WhatsApp-Nachrichten manipulieren. Ein Außenstehender kann den Datennverkehr zwischen Webbrowser und App nur dann manipulieren, wenn er zuvor an den geheimen Schlüssel des Opfers gelangt. Das ließe sich beispielsweise über eine bösartige Browser-Erweiterung auf dem PC bewerkstelligen. Mit einer bösartigen Browser-Erweiterung ließen sich aber auch viele andere Angriffe realisieren – etwa eine Komplettüberwachung und nahezue beliebige Manipulation aller im Browser angezeigten Inhalte.
Drei Manipulationsmöglichkeiten
Die Forscher Roman Zaikin und Oded Vanunu demonstrierten im Rahmen ihres Black-Hat-Vortrags drei Manipulationswege live auf der Bühne:
-- Mittels der Zitierfunktion lässt sich in Gruppen-Chats der Name des Absenders eine Nachricht in die Gruppe ändern.
-- Die in Antworten zitierten Texte lassen sich so verändern, dass dem Absender beliebige Aussagen untergeschoben werden können.
-- Eine de facto privat verschickte und somit für andere Gruppenmitglieder unsichtbare Nachricht lässt sich als öffentliche Nachricht markieren.
Dadurch verschickt das potentielle Opfer die vermeintlich vertrauliche Antwort für alle sichtbar an die Gruppe.
Grundlage der Manipulationen via WhatsApp Web ist eine von den Check-Point-Forschern programmierte Erweiterung für das Netzwerk-Analysetool Burp Suite. Mit ihr lassen sich die zwischen Gesprächspartnern ausgetauschten Nachrichten sowie die zur Kommunikation notwendigen WhatsApp-Parameter abfangen, entschlüsseln, manipulieren und dann wieder verschlüsseln – natürlich nur mit dem erwähnten geheimen Schlüssel des Opfers. Weitere Details zur Vorgehensweise der Forscher sind einem Eintrag im Check-Point-Blog zu entnehmen.
Facebook sieht keine Schwachstelle
Nach Aussage der Forscher hat Facebook die dritte Manipulationsmöglichkeit (Umwandeln privater in öffentliche Mitteilungen) behoben, nachdem sie das Unternehmen Ende letzten Jahres über ihre Entdeckungen informierten.
Für die übrigen Manipulationen gebe es keine einfache Lösung. Wie Oded Vanunu im Gespräch mit heise online erklärte, müsste WhatsApp hierzu alle Nachrichten auf dem Endgerät der Anwendenden speichern, wodurch der Speicherbedarf für die WhatsApp-Datenbank rasch explodieren würde. Entsprechend aufwändig würde es auch für den Anbieter, Backups dieser Datenbanken auf seinen Servern zu sichern.
Facebook hat sich ebenfalls zu Check Points Demonstration auf der Black Hat geäußert. "Wir haben das Thema vor einem Jahr sorgfältig geprüft und es ist falsch, zu unterstellen, dass es eine Schwachstelle in der Sicherheit von WhatsApp gibt", sagte ein Sprecher laut einer Meldung der dpa. Er betonte vor allem, dass das Signal-Verschlüsselungsprotokoll, auf dem WhatsApp aufsetzt, sicher sei. Allerdings hatten die Forscher auch gar nicht behauptet, die Verschlüsselung geknackt zu haben.
Quelle: Forscher manipulieren Inhalt und Absender von WhatsApp-Nachrichten | heise online