Ob ich jetzt wirklich WhatsApp empfehlen müsse, hatte ich vor gar nicht so langer Zeit gefragt. Selbst Jürgen Schmidt von heise security erklärte im letzten Jahr noch, dass man doch WhatsApp nutzen solle, wenn einem die eigene Privatsphäre wichtig wäre. Das war nachdem Facebook verkündete, für WhatsApp Ende-zu-Ende-Verschlüsselung zu verwenden und zwar auf Basis eines anerkannten und sicheren Verfahrens von Open Whisper Systems. Das klang ja auch alles gut und das Unternehmen betonte auch, man hätte keinen Zugriff auf die Inhalte der verschlüsselten Kommunikation zwischen den Nutzern.
Und jetzt sagt Tobias Boelter, ein Kryptografie- und Securityforscher der Berkeley-Universität in Kalifornien, dass Facebook die Technologie von Open Whisper Systems für die Nutzung in WhatsApp erweitert habe. Erweitert um eine feine Backdoor, die es dem Unternehmen erlaubt unbemerkt vom Nutzer neue Schlüssel zu erzeugen und durch diesen Schlüsseltausch dann Zugriff auf die Inhalte eines Chats zu nehmen oder diesen Zugriff Behörden weiter zu reichen. Dazu muss dann zwar auf den Servern auch ein bisschen gemogelt werden, damit die entsprechenden Nachrichten mit dem neuen Schlüssel erneut gesendet werden, aber da das Unternehmen komplette Kontrolle über die Server, die Clients und die Erzeugung der Schlüssel hat, ist das kein größeres Problem.
Gegenüber dem Guardian beschreibt Boelter diese Möglichkeit:
[Some] might say that this vulnerability could only be abused to snoop on ‘single’ targeted messages, not entire conversations. This is not true if you consider that the WhatsApp server can just forward messages without sending the ‘message was received by recipient’ notification (or the double tick), which users might not notice. Using the retransmission vulnerability, the WhatsApp server can then later get a transcript of the whole conversation, not just a single message.
Ich höre schon wieder von verschiedenen Seiten den gewohnten Spruch: „Ich habe doch nichts zu verbergen“. Aber wer weiß schon, was er zu verbergen hat? Auch wird WhatsApp von Nutzern in Ländern verwendet, die eben keine Demokratien sind. Und in Anbetracht der Schnüffeleien, die von Geheimdiensten demokratischer Länder betrieben wird, kann man sich vielleicht ausmalen, wie weit Geheimdienste in solchen Ländern gehen oder durch entsprechende Anordnungen der dortigen Regierungen auch gehen dürfen.
Diese Lücke hat Boelter übrigens bereits im April letzten Jahres an Facebook gemeldet, also zu einem Zeitpunkt, als sehr viele Menschen noch jubelten ob des großen Sicherheitsgewinns oder gar dazu aufforderten WhatsApp zu nutzen. Und obwohl Facebook diese Lücke – ob sie nun beabsichtigt oder unbeabsichtigt eingebaut wurde – kannte, hat das Unternehmen sein Versprechen nicht korrigiert, dass nur die beteiligten Nutzer einer Konversation diese lesen könnten und selbst das Unternehmen selbst darauf keine Zugriff nehmen könne.
Oder kurz: Facebook hat die Nutzer von WhatsApp angelogen. Und unabhängig davon, wer unter welchen Umständen diese Lücke ausnutzen kann, ausgenutzt hat oder ausnutzen wird, ist das alleine schon ein Grund dem Unternehmen und WhatsApp als Dienst nicht mehr zu vertrauen. Wenn das kein passender Anlass ist, unseren Artikel zu den WhatsApp Alternativen auf den aktuellen Stand zu bringen.
Spätestens jetzt wieder aktuell:
- Top 10 Alternativen zu Whatsapp *Update*
- Trump-Effekt: ProtonMail, Signal & Co. verzeichnen enorme Zuwächse
Und für alle, die schon immer sagten, dass Privatsphäre und Facebook eben nicht zusammen passen und dies daher auch für WhatsApp gelten würde und man zumindest skeptisch bleiben müsse bei allen Versprechen des Unternehmens: Ja, ihr habt es gleich gesagt. Ein bisschen Schadenfreude und das Gefühl, es eben schon immer besser gewusst zu haben, sei euch von Herzen gegönnt, aber danach helft mal euren weniger versierten Kollegen, Freunden und Bekannten den Umstieg auf einen anderen Messenger zu machen. Deal?
via Netzpolitik.org