bedeckt München 27°

Hintertür im Messenger:Die angebliche Schwachstelle in Whatsapp

Whatsapp

Whatsapp hat im vergangenen Jahr Ende-zu-Ende-Verschlüsselung eingeführt und galt bislang als sicher - zumindest der Guardian hat Zweifel.

(Foto: dpa)

Der britische "Guardian" berichtet, dass Dritte Whatsapp-Nachrichten mitlesen können - ohne, dass es der Nutzer mitbekommt. Doch die Darstellung ist umstritten.

Angeblich enthält Whatsapp eine Hintertür, mit der Dritte die Inhalte von Nachrichten mitlesen können. Einen entsprechenden Bericht des britischen Guardian haben internationale Medien und Blogs aufgegriffen. Whatsapp hatte im April 2016 Ende-zu-Ende-Verschlüsselung eingeführt und galt seitdem als sicher.

Hardware-Hersteller oder Software-Programmierer bauen Hintertüren, auch unter dem englischen Begriff "Backdoor" bekannt, absichtlich in ihre Produkte und Apps ein. Systemadministratoren können damit zum Beispiel Wartungsarbeiten vornehmen - oder sich Zugriff auf Passwörter, Nachrichten und andere Nutzerdaten verschaffen und diese an Sicherheitsbehörden oder Geheimdienste weitergeben.

Was genau sind die Vorwürfe?

Wenn zwei Whatsapp-Nutzer miteinander chatten, tauschen ihre Geräte einen öffentlichen Schlüssel aus. Der Sender chiffriert seine Nachricht mit dem öffentlichen Schlüssel des Empfängers, dieser entschlüsselt die Botschaft mit seinem privaten Schlüssel. Dieses Prinzip nennt man Ende-zu-Ende-Verschlüsselung. Normalerweise verhindert es, dass Dritte auf die Inhalte der Nachrichten zugreifen können.

Allerdings ist Whatsapp offenbar in der Lage, neue Schlüsselpaare zu erzeugen: "Sie können, ohne dass man es bemerkt, den Schlüssel ändern", sagt Roland Schilling. Er ist Sicherheitsforscher an der Technischen Universität in Hamburg und hat zusammen mit Frieder Steinmetz auf dem Hacker-Kongress CCC einen Vortrag über die Sicherheit von Messaging-Apps gehalten. "Ein bestimmter Teil der Nachrichten kann so an andere Personen verschickt werden. Das merkt man erst hinterher."

Weist Whatsapp dem Empfänger einen neuen Schlüssel zu, während dessen Smartphone offline ist, erhält das Gerät des Senders die Anweisung, noch nicht zugestellte Nachrichten mit dem neuen Schlüssel zu chiffrieren. "Wenn der Whatsapp-Server mitteilt, dass der Empfänger einen neuen Schlüssel hat, dann wird Whatsapp alle Nachrichten, die auf dem Server liegen, neu verschlüsseln und an den Server schicken", erklärt Steinmetz das Problem. "Die App vertraut dem Schlüssel blind, ohne dass eine Prüfung stattfindet."

Der Guardian zitiert Bürgerrechtler, die darin eine "große Bedrohung" sehen, und befürchtet, dass Geheimdienste ahnungslose Nutzer ausspionieren könnten. Mehrere IT-Experten und Mitarbeiter von Menschenrechtsorganisationen sehen die angebliche Hintertür als gefundenes Fressen für Sicherheitsbehörden und werfen Whatsapp massiven Vertrauensbruch vor.

Wie schwerwiegend sind die Vorwürfe?

Tobias Boelter, Sicherheitsforscher in Berkeley, hat schon vor einem Dreivierteljahr von einer möglichen Sicherheitslücke in Whatsapp berichtet. Der Bericht des Guardian beruht im Wesentlichen auf dem alten Blogpost von Boelter, die Erkenntnisse sind also zumindest nicht neu. Die Londoner Zeitung hat lediglich bestätigt, dass die damals entdeckte Schwachstelle noch immer besteht.

IT-Experten kritisieren die Berichterstattung deshalb: Sie habe aus einer "Design-Entscheidung" von Whatsapp eine Hintertür gemacht und schüre damit unnötigerweise Panik. Noch drastischer wird Sicherheitsforscher Alec Muffett, der bei Gizmodo von "major league fuckwittage" spricht, was mit "riesengroßem Quatsch" noch vorsichtig übersetzt ist.

Whatsapp selbst weist die Vorwürfe als "falsch" zurück. Das Unternehmen habe Geheimdiensten keine Hintertür geöffnet und würde alle entsprechenden Begehrlichkeiten zurückweisen, sagt ein Sprecher. Bei der angeblichen Sicherheitslücke handle es sich um eine "Design-Entscheidung", die Millionen Nachrichten vor dem Verschwinden schütze.