Am 14.1.2017 haben wir über das Thema: Werden bei WhatsApp etwa Nachrichten abgefangen? berichtet über die auch der “Guardian” berichtet hatte!
Kurz nach dem Bericht im „Guardian“ erfolgte eine Stellungnahme des Entwicklers.
Nachdem der britische „Guardian“ die Geschichte über die Schwachstelle in der Verschlüsselungskette von WhatsApp aufgegriffen hatte und die Sicherheitslücke von Medienbericht zu Medienbericht mehr und mehr zu einer absichtlichen Hintertür wurde, hat sich jetzt der Entwickler Moxie Marlinspike zu Wort gemeldet.
Der Entwickler der open – source Verschlüsselungstechnik, die bei WhatsApp zum Einsatz kommt, weist in seinem Artikel „There is no WhatsApp ‚backdoor‘“ die Idee über eine absichtliche Hintertür zurück.
Auch Tobias Boelter, der die Sicherheitslücke seinerzeit entdeckt hatte, bezweifelt in einem Blogeintrag, dass die Lücke absichtlich geschaffen wurde.
it’s not a security issue it’s a feature
Boelter hatte seinerzeit WhatsApp auf seine Entdeckung hingewiesen, WhatsApp teilte ihm daraufhin mit in diesem Verhalten keine Sicherheitslücke zu erkennen, vielmehr sei es ein Feature.
Der Messenger Signal verwendet dasselbe Verfahren, allerdings bekommt der Versender einer Nachricht bei einem Schlüsselwechsel, von Signal eine Nachricht und wird gebeten den Schlüsselwechsel und den Versand der Nachricht zu bestätigen. Darin sieht WhatsApp scheinbar einen unzumutbaren Mehraufwand für seine User.
Marlinspike gibt allerdings auch zu, dass diese Entscheidung der WhatsApp Entwickler in der Tat die Option für einen Angriff bietet. Im Gegensatz zu Boelter, kann er aber die Entscheidung nachvollziehen, ja er verteidigt im gewissen Sinne sogar die WhatsApp Entscheidung, denn wenn ein Chat jedes Mal unterbrochen werden würde, wenn der private Schlüssel sich ändert, könnten neue Datenschutzprobleme auftreten.
Würde der Versand dann blockiert und eine Überprüfung des Schlüssels angefordert, wüsste das Unternehmen ja welcher Nutzer die Benachrichtigungsfunktion aktiviert hat und welcher nicht. Letzterer wäre dann durch einen versteckten Schlüsselaustausch angreifbar.
Ein Problem, dass WhatsApp schon alleine dadurch vermeiden könnte, indem die Benachrichtigungsfunktion bei allen gleichermaßen aktiviert sein würde.
Marlinspike bekundete außerdem, dass die Clients nicht dazu veranlasst werden könnten, bereits verschickte Nachrichten nach Schlüsselwechsel erneut zu verschicken, das wäre aber die Voraussetzung dafür, dass vorangegangene Nachrichten ausgelesen werden könnten, so wie der Artikel des „Guardian“ als Interpretation zuließ. Besonders enttäuscht ist Marlinspike darüber, dass die Journalisten des „Guardian“ ihn nicht mal zur Verifizierung ihres Beitrages angesprochen hätten.
Was also tun
WhatsApp User können unter Android in den WhatsApp Einstellungen unter Account à Sicherheit die Option „Sicherheits-Benachrichtigungen anzeigen“ aktivieren.
Damit wird nicht verhindert, dass die Botschaften in falsche Hände geraten, aber sie bekommen immerhin eine Nachricht darüber, dass der Gegenpart eventuell nicht mehr der ist, der er, oder sie, mal war.
Die Entscheidung darüber, ob sie dem Partner am anderen Ende weiterhin vertrauen, oder lieber zunächst über die Sicherheitsnummer überprüfen wollen, obliegt dem jeweiligen Nutzer, oder Nutzerin selbst.
Auch muss jeder für sich selber entscheiden, ob hinter der Sicherheitslücke und vor allem dem Festhalten an der bisherigen Vorgehensweise seitens WhatsApp ein Vorsatz vermutet wird.
Quelle: https://www.heise.de
Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:
📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.
Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!
* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)