Fehler in WhatsApp macht Verschlüsselung von Nachrichten unwirksam

Ein niederländischer Entwickler hat eine Schwachstelle in WhatsApp entdeckt, die es einem Angreifer ermöglicht, abgefangene Nachrichten zu entschlüsseln. Wie Computerworld berichtet, wurde die verwendete Verschlüsselungstechnik fehlerhaft implementiert.

Das Problem sei, dass zur Verschlüsselung aus- und eingehender Nachrichtenströme derselbe Schlüssel verwendet werde, erklärte Thijs Alkemade, der an der Universität Utrecht Mathematik und Computerwissenschaften studiert. Er ist zudem einer der führenden Entwickler des Open-Source-Messaging-Clients Adium für Mac OS X.

Alkemade zufolge kann durch den Vergleich zweier Nachrichten, die mit demselben Schlüssel codiert wurden, dieser Schlüssel extrahiert werden, wenn der Text einer der Nachrichten im Klartext vorliegt. Die Wiederverwendung von Schlüsseln sei ein grundlegender Implementierungsfehler, der den WhatsApp-Entwicklern hätte bekannt sein müssen. Die Sowjetunion habe den Fehler schon in den Fünfzigerjahren gemacht und Microsoft ihn 1995 in seiner VPN-Software wiederholt.

Der Entwickler hat laut Computerworld auch Beispielcode für einen Exploit veröffentlicht, der anfänglich nur mit der Open-Source-Bibliothek WhatsPoke getestet wurde. Inzwischen hat Alkemade bestätigt, dass auch die WhatsApp-Clients für Android und Nokia Series 40 betroffen sind. „Ich glaube nicht, dass es beim iOS-Client anders ist“, sagte er.

Der Fehler lässt sich Alkemade zufolge beheben, indem WhatsApp seine Clients um eine Methode zur Generierung unterschiedlicher Schlüssel für das Senden und Empfangen von Nachrichten sowie deren Authentifizierung erweitert. Nutzer müssten davon auszugehen, dass jeder, der WhatsApp-Nachrichten abfangen könne, in der Lage sei, sie zu entschlüsseln. Das gelte auch für schon geführte Konversationen. Bis zur Veröffentlichung eines Fixes rät Alkemade von der Nutzung von WhatsApp ab.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

22 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago