Bild nicht mehr verfügbar.

Foto: Patrick Sison / AP

Whatsapp mag zu Facebook gehören, und doch verspricht der Messenger-Anbieter seinen Nutzern ein hohes Maß an Privatsphäre. Durch Ende-zu-Ende-Verschlüsselung soll sichergestellt werden, dass Konversationen wirklich geheim bleiben, auch der Service-Betreiber selbst hat hierdurch keinen Einblick. Nun haben Sicherheitsforscher aber einen Weg herum um diese Hürde gefunden.

Angriff

Im Rahmen der Schweizer Sicherheitskonferenz "Real World Crypto" wurde eine Attacke demonstriert, die es ermöglicht, weitere Teilnehmer in bestehende Gruppendiskussionen einzufügen. Diese könnten dann natürlich alles mitlesen, was in dem Chat so diskutiert wird, eine Zustimmung des jeweiligen Gruppen-Admins ist hierfür nicht vonnöten.

Hohe Hürde

Allerdings sind die Voraussetzungen für eine solche Attacke ziemlich hoch: Ein Angreifer müsste nämlich Zugriff auf die Server von WhatsApp haben, das könnte ein Hacker sein, der an dieser Stelle eingebrochen ist, aber aber natürlich auch Facebook selbst oder staatliche Spione. Trotz dieser Hürde sieht der an der John Hopkins University lehrende Verschlüsselungsexperte Matthew Green darin ein grobes Defizit: "Wenn man erst recht dem Server vertrauen muss, kann man gleich auf Ende-zu-Ende-Verschlüsselung verzichten", gibt er gegenüber Wired zu Protokoll.

Widerspruch

Dem widerspricht wiederum Alex Stamos, Chief Security Officer bei Facebook: Solch eine Attacke sei unter realen Bedingungen praktisch wertlos. Immerhin könnte jeder sehen, wenn ein neuer Teilnehmer die Diskussion betrete, für Spione sei dies insofern wohl kaum ein taugliches Mittel um Einblick in geheime Gespräche zu bekommen. Auch haben neue Gruppenmitglieder prinzipiell keinen Zugriff auf frühere Diskussionen.

Der Facebook-Sicherheitschef widerspricht dem Bericht.

Vorerst bleibt auch unklar, wann – und ob – WhatsApp auf das Problem reagieren wird. Laut Stamos handelt es sich dabei um eine direkte Konsequenz der Möglichkeit, Nutzer über Links in einen Chat einladen zu können, bliebe also eigentlich nur die Möglichkeit diese Funktion zu entfernen – was aber natürlich erst recht die User verärgern könnte. (red, 11.12.2018)