Categories: MobileMobile Apps

WhatsApp-Backdoor: Experten widersprechen Guardian-Bericht

Zahlreiche Sicherheitsforscher und Verschlüsselungsexperten haben die britische Zeitung The Guardian in einem offenen Brief scharf kritisiert. Auslöser ist ein in der vorletzten Woche erschienener Bericht, der angeblich eine Hintertür in WhatsApp beschreibt. Sie werfen dem Guardian vor, die Erkenntnisse eines einzelnen Forschers vorschnell und ohne Gegenprüfung durch andere Experten veröffentlicht zu haben.

Den Brief haben namhafte Experten wie Matthew Green, Professor für Kryptografie an der Johns Hopkins University, der IT-Forensiker Jonathan Zdziarski, Bruce Schneier und Isis Lovecruft, Chefentwicklerin des Anonymisierungsnetzwerks The Onion Router (Tor), unterzeichnet. Die Forderung, den Guardian-Bericht zurückzuziehen, unterstützen außerdem Mitarbeiter von Google, Intel Security, der Electronic Frontier Foundation, Mozilla, Cloudflare und des Open Crypto Audit Project.

Die Diskussion dreht sich um die Verarbeitung von WhatsApp-Nachrichten, die offline erstellt wurden und nicht sofort verschickt werden können. Für sie wird ein neuer Verschlüsselungsschlüssel erstellt und mit dem Empfänger ausgetauscht. Der Guardian unterstellt in seinem Bericht, WhatsApp könne auf diese Art die Kommunikation seiner Nutzer abfangen und lesen, weil dem Empfänger der Austausch des Schlüssels nicht bekannt sei und der Sender standardmäßig nicht über den Schlüsselaustausch informiert werde.

Die Experten sind jedoch davon überzeugt, dass „sicherheitsbewusste Nutzer“ einen Missbrauch dieser Funktion durch WhatsApp oder Strafermittlungsbehörden schnell erkennen können, da es möglich sei, Sicherheitswarnungen für den nachträglichen Schlüsseltausch zu aktivieren. Das schränke die Nutzung dieser Methode stark ein. Außerdem müsse ein Dritter, um davon Gebrauch machen zu können, uneingeschränkten Zugang zum Smartphone eines Nutzers oder zu WhatsApps Servern haben.

Die Verfasserin des Briefs, die türkische Journalistin Zeynep Tufekci, wirft dem Guardian zudem vor, mit seinem Bericht zumindest in der Türkei einen konkreten Schaden angerichtet zu haben. „Die Geschichte wurde von der größten Oppositionszeitung der Türkei aufgegriffen, unter Verwendung Ihrer Formulierungen und gepaart mit einer Erklärung des Chefs der türkischen Internetbehörde, der WhatsApp ebenfalls schnell als unsicher einstufte. Die Nachricht an Aktivisten, Journalisten und einfache Menschen weltweit war deutlich: WhatsApp hat eine Backdoor, es ist unsicher, nutze es nicht“, schreibt Tufekci.

Gegenüber Motherboard erklärte The Guardian, man habe die Überschrift des Artikels geändert und das Wort „Hintertür“ durch „Schwachstelle“ ersetzt. „Zeynep Tufekcis offener Brief ist uns bekannt und wir haben ihr angeboten, eine Antwort zu unserem Bericht zu schreiben. Das Angebot besteht weiterhin und wir begrüßen eine weitere Debatte.“

Loading ...

Neben WhatsApp hatte auch Open Whisper Systems, Herausgeber des verschlüsselten Messengers Signal, dessen Verschlüsselungsprotokoll WhatsApp nutzt, unmittelbar nach Veröffentlichung des Berichts die Vorwürfe zurückgewiesen. Der Austausch von Schlüsseln sei etwas, womit „jedes auf öffentlichen Schlüsseln basierende Kryptografiesystem umgehen muss“. Theoretisch sei WhatsApp zwar in diesen Situationen in der Lage, als „Man in the Middle“ aufzutreten, das sei aber bei jedem Kommunikationssystem möglich. WhatsApp-Nutzer könnten indes eine Schlüsselprüfung aktivieren, die einen Man-in-the-Middle-Angriff aufdecke. WhatsApp sei aber nicht bekannt, ob ein Nutzer diese Einstellung aktiviert habe. Das Unternehmen laufe also Gefahr, von seinen Nutzern ertappt zu werden.

„Die Tatsache, dass WhatsApp Schlüsseländerungen erlaubt, ist keine ‚Hintertür‘, Verschlüsselung funktioniert so“, teilte Open Whisper Systems mit. „Jeder Versuch des Servers, Nachrichten des Absenders abzufangen, kann aufgedeckt werden, genau wie bei Signal, PGP oder jedem anderen Ende-zu-Ende verschlüsselten Kommunikationssystem.“

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago