WhatsApp Verschlüsselungskey im Internet aufgetaucht. Kein Fake – aber auch keine Sensation.

WhatsApp und seine Sicherheitslücken. Das verunsichert die Nutzer immer wieder. Die aktuelle Meldung stammt angeblich aus der Feder von Nadim Kobeissi, dem Macher einer WhatsApp-ähnlichen App namens Cryptocat.

Dies ist so weit kein Fake und kann von jedem bei Twitter nachgelesen werden . In einem recht saloppen Post gibt er einen AES Schlüssel bekannt, der die Chatdatenbanken auf der SD-Karte von Android Geräten verschlüsselt.

(Quelle: https://twitter.com/kaepora/status/445623864065007616)

Dies klingt nun wesentlich spektakulärer, als es letztendlich ist.

Worum es geht:

Bei Android Geräten (nur Android) werden die WhatsApp Datenbanken auf der SD-Karte gespeichert, dabei geht es am Ende um diese 3 Dateien:

• /WhatsApp/Databases/msgstore.db
• /WhatsApp/Databases/wa.db
• /WhatsApp/Databases/msgstore.db.crypt

Diese Dateien speichern den Chatverlauf und sind mit dem genannten Schlüssel kodiert. Mit Hilfe dieses Schlüssels kann man nun, wenn man in Besitz der Dateien ist, den Chatverlauf entschlüsseln und lesen.
Die Verschlüsselung bei der Übertragung von Nachrichten auf den Server sind damit nicht gemeint!

Dieser Schlüssel bringt nun niemandem etwas, solange er die Chatdateien nicht hat. Also „Chats live mitlesen“ oder gar „hacken“ durch mithören des Netzverkehrs ist mit diesem Schlüssel nicht möglich.

Welche Gefahren birgt das Wissen um den Schlüssel?

Sobald jedoch Dritte/Fremde in den Besitz der 3 Chatdateien gelangen können, können sie mit Hilfe des Schlüssels die Dateien, und somit den Chatverlauf, auslesen.

(Anmerkung: auf dem Bild wird ein älterer AES Schlüssel angezeigt, der Schlüssel ändert sich regelmäßig)

Dies ist kein Zauberwerk und es gibt verschiedene Varianten und Programme, welche die Dateien auslesen können und somit auf dem PC sichtbar machen.

Gefährlich ist jedoch, dass diese Datenbanken jede App hochladen kann, die den Zugriff auf SD-Karte hat. Man kann davon ausgehen dass jede App das KANN, nicht aber zwingend tut.

Wenn es z.B. Facebook nur darum gegangen wäre, die WhatsApp Chatverläufe auszulesen, hätte Facebook niemals WhatsApp kaufen müssen, sondern mit der eigenen App lediglich auf die Daten zugreifen können und mit Hilfe des Schlüssels auslesen können.

WhatsApp hat nachgebessert

Nach Angaben von Chip.de hat WhatsApp diese Lücke nachgebessert und jedes Gerät generiert seinen eigenen Key, der die Datenbank „msgstore.db.crypt“ verschlüsselt.
Somit ist das Auslesen des Chatverlaufs schwieriger geworden, jedoch weiterhin nicht unmöglich, denn die Generierung dieses Schlüssels ist dermaßen lausig (der jeweilige Nutzername), so dass auch diese individuelle Verschlüsselung schwach ist.

(Siehe http://www.chip.de/news/WhatsApp-Panne-Verschluesselungs-Keys-im-Netz_68693172.html )

Keine sensiblen Daten versenden

Dank dieser wahrlich schwachen Verschlüsselung empfehlen wir auch weiterhin, keine sensiblen Daten über WhatsApp zu versenden. WhatsApp ist und bleibt ein beliebter und günstiger Messengerdienst, sollte jedoch nur als leichte Kost für ungezwungenen Austausch betrachtet werden.

Autor: Andre von Mimikama.at

ZDDK/Mimikama bedankt sich Theo Tzaferis für die Fachinformationen und Unterstützung zu diesem Artikel