WhatsApp-Backdoor: Experten widersprechen Guardian-Bericht

Zahlreiche Sicherheitsforscher und Verschlüsselungsexperten haben die britische Zeitung The Guardian in einem offenen Brief scharf kritisiert. Auslöser ist ein in der vorletzten Woche erschienener Bericht, der angeblich eine Hintertür in WhatsApp beschreibt. Sie werfen dem Guardian vor, die Erkenntnisse eines einzelnen Forschers vorschnell und ohne Gegenprüfung durch andere Experten veröffentlicht zu haben.

Den Brief haben namhafte Experten wie Matthew Green, Professor für Kryptografie an der Johns Hopkins University, der IT-Forensiker Jonathan Zdziarski, Bruce Schneier und Isis Lovecruft, Chefentwicklerin des Anonymisierungsnetzwerks The Onion Router (Tor), unterzeichnet. Die Forderung, den Guardian-Bericht zurückzuziehen, unterstützen außerdem Mitarbeiter von Google, Intel Security, der Electronic Frontier Foundation, Mozilla, Cloudflare und des Open Crypto Audit Project.

Die Diskussion dreht sich um die Verarbeitung von WhatsApp-Nachrichten, die offline erstellt wurden und nicht sofort verschickt werden können. Für sie wird ein neuer Verschlüsselungsschlüssel erstellt und mit dem Empfänger ausgetauscht. Der Guardian unterstellt in seinem Bericht, WhatsApp könne auf diese Art die Kommunikation seiner Nutzer abfangen und lesen, weil dem Empfänger der Austausch des Schlüssels nicht bekannt sei und der Sender standardmäßig nicht über den Schlüsselaustausch informiert werde.

Die Experten sind jedoch davon überzeugt, dass „sicherheitsbewusste Nutzer“ einen Missbrauch dieser Funktion durch WhatsApp oder Strafermittlungsbehörden schnell erkennen können, da es möglich sei, Sicherheitswarnungen für den nachträglichen Schlüsseltausch zu aktivieren. Das schränke die Nutzung dieser Methode stark ein. Außerdem müsse ein Dritter, um davon Gebrauch machen zu können, uneingeschränkten Zugang zum Smartphone eines Nutzers oder zu WhatsApps Servern haben.

Die Verfasserin des Briefs, die türkische Journalistin Zeynep Tufekci, wirft dem Guardian zudem vor, mit seinem Bericht zumindest in der Türkei einen konkreten Schaden angerichtet zu haben. „Die Geschichte wurde von der größten Oppositionszeitung der Türkei aufgegriffen, unter Verwendung Ihrer Formulierungen und gepaart mit einer Erklärung des Chefs der türkischen Internetbehörde, der WhatsApp ebenfalls schnell als unsicher einstufte. Die Nachricht an Aktivisten, Journalisten und einfache Menschen weltweit war deutlich: WhatsApp hat eine Backdoor, es ist unsicher, nutze es nicht“, schreibt Tufekci.

Gegenüber Motherboard erklärte The Guardian, man habe die Überschrift des Artikels geändert und das Wort „Hintertür“ durch „Schwachstelle“ ersetzt. „Zeynep Tufekcis offener Brief ist uns bekannt und wir haben ihr angeboten, eine Antwort zu unserem Bericht zu schreiben. Das Angebot besteht weiterhin und wir begrüßen eine weitere Debatte.“

Neben WhatsApp hatte auch Open Whisper Systems, Herausgeber des verschlüsselten Messengers Signal, dessen Verschlüsselungsprotokoll WhatsApp nutzt, unmittelbar nach Veröffentlichung des Berichts die Vorwürfe zurückgewiesen. Der Austausch von Schlüsseln sei etwas, womit „jedes auf öffentlichen Schlüsseln basierende Kryptografiesystem umgehen muss“. Theoretisch sei WhatsApp zwar in diesen Situationen in der Lage, als „Man in the Middle“ aufzutreten, das sei aber bei jedem Kommunikationssystem möglich. WhatsApp-Nutzer könnten indes eine Schlüsselprüfung aktivieren, die einen Man-in-the-Middle-Angriff aufdecke. WhatsApp sei aber nicht bekannt, ob ein Nutzer diese Einstellung aktiviert habe. Das Unternehmen laufe also Gefahr, von seinen Nutzern ertappt zu werden.

„Die Tatsache, dass WhatsApp Schlüsseländerungen erlaubt, ist keine ‚Hintertür‘, Verschlüsselung funktioniert so“, teilte Open Whisper Systems mit. „Jeder Versuch des Servers, Nachrichten des Absenders abzufangen, kann aufgedeckt werden, genau wie bei Signal, PGP oder jedem anderen Ende-zu-Ende verschlüsselten Kommunikationssystem.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.