WhatsApp weist sämtliche Vorwürfe zurück, dass der Messenger-Dienst eine Hintertür zum Mitlesen aufweist. Vielmehr soll es sich dabei um eine Design-Entscheidung handeln, die dafür sorgt, dass Nachrichten nicht verloren gehen. Bekräftigt wird die Erklärung von den Entwicklern hinter dem Verschlüsselungssystem. In einem Blog-Eintrag stellt Open Whisper Systems klar, dass es keine WhatsApp-Hintertüre gibt und es sich bei dem Guardian-Bericht vielmehr um eine Falschmeldung handelt.

Angriff auf Server erlaubt Mitlesen

Die konkrete Sicherheitslücke hat nämlich viel mehr mit Benachrichtigungen als mit Kryptographie zu tun. Bei einem Wechsel des Schlüssels verschickt WhatsApp nämlich weiterhin Nachrichten und zeigt nicht auf, dass es Änderungen bei der Verschlüsselung gab. Hier ergibt sich für besonders fähige Hacker die Möglichkeit einen sogenannten Man-in-the-Middle-Angriff durchzuführen und bei einem Angriff auf die Server des Messengers sich selbst als Relaiskontakt zu konfigurieren. Signal, Snowdens empfohlener Kommunikationsdienst, verwendet übrigens die gleiche Verschlüsselung, versendet bei einem neuen Schlüssel allerdings keine weiteren Nachrichten mehr.

Massenüberwachung nur in der Theorie möglich

Im Falle eines SIM-Karten-Wechsels, einem der häufigsten Gründe für einen Wechsel des Schlüssels, werden bei WhatsApp somit weiter Nachrichten verschickt. Würde dies der Dienst anders handhaben, würden Millionen Nachrichten im Nirwana verschwinden. Ferner ist der Angriff für Massenüberwachung kaum geeignet, da etwa eine neugierige Regierung Attacken auf sämtliche Konversationen durchführen müsste. Für gezieltes Auslesen eines Gesprächs eignet sich die Lücke allerdings sehr wohl.

WhatsApp ist nicht aus dem Schneider

Eine Entwarnung stellt dies trotzdem nicht dar. Vielmehr könnte auf WhatsApps nun einige Regierungsanfragen zukommen, verschlüsselte Konversationen freizugeben. Die User würden davon nichts mitbekommen, da die Nachrichten einfach weiterverschickt werden. Zudem wird der WhatsApp-Nutzer auch nicht über einen Wechsel des Schlüssels benachrichtigt, wodurch er auch nicht reagieren kann.

Gretchenfrage für Messenger-Dienste

Russell Brandom von The Verge schreibt, dass die Lösung hierfür wäre, Verschlüsselung sichtbarer für den User zu machen und bei einem Wechsel des Schlüssels sofort zu benachrichtigen. Bei Signal ist dies bereits Teil des Dienstes, allerdings weist der Messenger gegenüber WhatsApp eine deutlich kleinere und technikaffinere Nutzerbasis auf als es WhatsApp hat. Somit müssen sich Messenger-Anbieter in Zukunft mit der Frage auseinandersetzen, inwieweit sie Verschlüsselung für den User sichtbar machen wollen, ohne dass dieser auf einen anderen Dienst zurückgreift, der eventuell unsicherer, aber einfacher zu nutzen ist. (dk, 14.01.2017)