Emblem des Messenger-Dienstes Whatsapp | Bildquelle: dpa

Messenger-Dienst WhatsApp Sicherheitslücke oder doch "Hintertür"?

Stand: 14.01.2017 10:58 Uhr

Der Messenger-Dienst WhatsApp wirbt damit, dass verschickte Nachrichten so sicher verschlüsselt sind, dass nicht mal der Dienst selbst sie mitlesen kann. Das zweifelt der deutsche Informatiker Tobias Boelter an. Die ARD hat mit ihm gesprochen.

Von Wolfgang Stuflesser, ARD-Studio Los Angeles

Ist es eine Sicherheitslücke, die der Informatiker Tobias Boelter in WhatsApp entdeckt hat - oder ist es ein Feature, wie WhatsApp selbst das Ganze nennt? Für Boelter ist jedenfalls klar, dass WhatsApp dadurch die Möglichkeit hat, bestimmte Gespräche zwischen Nutzern anzuzapfen.

Es geht darum, wie der Messenger-Dienst mit Nachrichten umgeht, die zwar verschickt wurden, aber nicht zugestellt werden konnten - etwa weil der Empfänger inzwischen das Handy oder die SIM-Karte gewechselt hat. Wer schon einmal über WhatsApp gechattet hat, kennt das Prozedere: Verschickt man eine Nachricht, setzt WhatsApp dahinter einen Haken. Das heißt: Die Nachricht ging raus. Aber erst, wenn sie dem Empfänger zugestellt wurde, kommt noch ein zweiter Haken hinzu.

"In Transit"-Nachrichten sind das Problem

Zum Lesen der Nachricht braucht es einen Schlüssel: eine Art eindeutigen Ausweis, der sicherstellt, dass der Nutzer auch wirklich der ist, für den die Nachricht gedacht war. Nur dann kann die Nachricht entschlüsselt und gelesen werden. Bleibt sie aber stecken, schickt WhatsApp sie später erneut, auch wenn der Empfänger inzwischen einen neuen Schlüssel hat - also sozusagen seinen Ausweis erneuert hat.

An dieser Stelle sieht Boelter das Problem, denn dieses Vorgehen könnte vom WhatsApp-Server auch missbraucht werden. "Und zwar könnte der Server Ihnen ganz ohne Grund einen neuen Schlüssel unterjubeln. Und zwar nicht den vom Empfänger, sondern vielleicht den von WhatsApp selbst." Dann hätte man alle Nachrichten, die noch in Transit waren, mit einem neuen Schlüssel entschlüsselt - und WhatsApp könnte diese Nachrichten abfangen.

Tobias Boelter @tobiasboelter
How will Facebook PR and Facebook engineering teams handle the retransmission vulnerability? A suggestion. https://t.co/VlEPSqsEvh

Es geht also nur um Nachrichten, die noch nicht zugestellt wurden. Boelter hat keine Hinweise darauf, dass WhatsApp auf den Inhalt älterer Kommunikationen Zugriff hat. Und es gebe auch keine Belege dafür, dass das Unternehmen die Lücke schon einmal ausgenutzt und zum Beispiel einem Geheimdienst oder einer Regierung Zugriff auf bestimmte Nachrichten verschafft hat.

Service für die Nutzer?

Boelter macht gerade seinen Doktor an der Uni Berkeley in Kalfornien. Schon im vergangenen April hat er seine Erkenntnisse in einem Blogeintrag veröffentlicht - und auch Facebook kontaktiert, die Mutterfirma von WhatsApp. "Ich habe mir damals gedacht: Gut, du hast einen Fehler gefunden, dann meldest du ihn an Facebook - sie werden das schon beheben. Aber Facebook hat bis jetzt diese Schwachstelle nicht behoben. Und das stellt natürlich Fragen", erzählt Boelter.

Dem britischen "Guardian" hat WhatsApp erklärt, dass in vielen Teilen der Welt die Nutzer häufig ihre Geräte und SIM-Karten wechseln und man daher sicherstellen wolle, dass die Nachrichten ausgeliefert werden und nicht unterwegs verloren gehen.

Es geht auch anders

Dass es auch anders und nach Boelters Einschätzung sicherer geht, zeigen andere Messenger - etwa der Dienst "Signal", den auch schon der Whistleblower Edward Snowden empfohlen hat: "Der 'Signal'-Messenger diese Nachrichten gar nicht ein zweites Mal raus, sondern der zeigt an, dass die Nachricht nicht übermittelt werden konnte. Zudem wird man gefragt, ob man die Nachricht erneut senden möchte", erklärt Informatiker Boelter.

Tobias Boelter @tobiasboelter
Apparently @guardian picked up a flaw I discovered in @WhatsApp. Is it a bug or a backdoor? https://t.co/2babHcjeQT

Auf eine ARD-Anfrage an WhatsApp, warum Boelters Vorschlag nicht aufgegriffen wird, hat das Unternehmen nicht geantwortet. Im Dezember hatte der Verschlüsselungsexperte seine Entdeckung dann noch einmal beim C3-Kongress in Hamburg vorgestellt. Daraufhin berichtete nun der "Guardian" darüber. Das Medieninteresse ist groß: Unzählige Journalistenanfragen prasseln auf Boelter ein. Allerdings: "WhatsApp selbst hat sich nicht bei mir gemeldet."

Sicherheitslücke in WhatsApp - oder doch ein Feature?
W. Stuflesser, ARD Los Angeles
14.01.2017 09:52 Uhr

Download der Audiodatei

Wir bieten dieses Audio in folgenden Formaten zum Download an:

Hinweis: Falls die Audiodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Über dieses Thema berichtete Inforadio am 14. Januar 2017 um 09:10 Uhr.

Darstellung: