Whatsapp: Forscher finden «dumme» Lücke bei Gruppen-Chats
Aktualisiert

WhatsappForscher finden «dumme» Lücke bei Gruppen-Chats

Trotz der Ende-zu-Ende-Verschlüsselung im Messenger: IT-Experten haben einen Weg gefunden, Gruppen-Chats bei Whatsapp zu infiltrieren.

von
tob
1 / 4
Seit zwei Jahren gibt es beim beliebten Messenger Whatsapp eine Ende-zu-Ende-Verschlüsselung. Nun zeigen deutsche Sicherheitsexperten, dass diese überlistet werden kann. Nämlich dann, wenn es einem Angreifer gelingt, die Kontrolle über einen Server des Messengers zu erhalten.

Seit zwei Jahren gibt es beim beliebten Messenger Whatsapp eine Ende-zu-Ende-Verschlüsselung. Nun zeigen deutsche Sicherheitsexperten, dass diese überlistet werden kann. Nämlich dann, wenn es einem Angreifer gelingt, die Kontrolle über einen Server des Messengers zu erhalten.

Rodrigobark
Dann können in Whatsapp-Gruppen neue Mitglieder hinzugefügt werden, ohne dass dafür Administratorrechte notwendig sind. Die Privatsphäre der zuvor privaten Gruppe sei dann sofort kompromittiert, erklären die Forscher.

Dann können in Whatsapp-Gruppen neue Mitglieder hinzugefügt werden, ohne dass dafür Administratorrechte notwendig sind. Die Privatsphäre der zuvor privaten Gruppe sei dann sofort kompromittiert, erklären die Forscher.

Z1032/_arno Burgi
Whatsapp gehört zu Facebook. Der Sicherheitschef des sozialen Netzwerks argumentiert, dass es sich nur um eine beängstigende Schlagzeile handle. Es gebe keinen geheimen Weg in die privaten Gruppen, erklärt er via Twitter. Alle Mitglieder würden ja eine Benachrichtigung über den Neueintritt eines potenziellen Lauschers erhalten.

Whatsapp gehört zu Facebook. Der Sicherheitschef des sozialen Netzwerks argumentiert, dass es sich nur um eine beängstigende Schlagzeile handle. Es gebe keinen geheimen Weg in die privaten Gruppen, erklärt er via Twitter. Alle Mitglieder würden ja eine Benachrichtigung über den Neueintritt eines potenziellen Lauschers erhalten.

epa/Hayoung Jeon

Sicherheitsforscher der Ruhr-Universität im deutschen Bochum haben eine Schwachstelle im Messenger Whatsapp gefunden. Sie sagen, dass jeder, der die Server der App kontrolliert, neue Leute in private Gruppenchats einladen könne, ohne dass dafür Admin-Rechte erforderlich seien.

Sobald sich eine neue Person im Gruppen-Chat befindet, teilt das Telefon jedes Mitglieds der Gruppe automatisch geheime Schlüssel mit der neuen Person und gibt den Zugriff auf alle zukünftigen Nachrichten frei, nicht aber auf vergangene.

«Keinen geheimen Weg»

«Die Privatsphäre der Gruppe ist kompromittiert, sobald das ungebetene Mitglied die neuen Nachrichten lesen kann», sagte Paul Rösler, einer der Forscher, zum Fachmagazin «Wired».

Alex Stamos, Chief Security Officer von Facebook, antwortete auf den Bericht via Twitter und sagte: «Das ist eine beängstigende Schlagzeile, aber es gibt keinen geheimen Weg in die Gruppen-Chats von Whatsapp.»

Dem widerspricht der Journalist Andy Greenberg, der den Artikel bei «Wired» geschrieben hat. Er räumt zwar ein, dass für diese Spionagemethode jemand einen Server kontrollieren müsse. Es sei jedoch möglich, dass versierte Hacker diesen kompromittieren könnten. Auch Mitarbeiter von Whatsapp oder Regierungen, die das Unternehmen rechtlich dazu zwingen können, den Zugang zu gewähren, hätten eine solche Möglichkeit.

Das bringt die Whatsapp-Lästerfunktion

Stamos wiederum kritisierte den Bericht mit der Begründung, dass es mehrere Möglichkeiten gebe, Mitglieder des Gruppen-Chats zu überprüfen und zu verifizieren. Er sagt, dass in diesem Fall ja alle Mitglieder eines Gruppenchats sehen könnten, wer teilnehme, und dass sie über alle Neuzugänge benachrichtigt würden.

Tür zur Bank offen gelassen

Das sei aber keine angemessene Lösung für das grundlegende Problem des Messengers, argumentiert Matthew Green, Professor für Kryptografie an der John-Hopkins-Universität. Er hat zuvor die Arbeit der deutschen Forscher geprüft.

Wenn man ein System aufbaue, bei dem alles darauf ankomme, dem Server zu vertrauen, könne man genauso gut einfach auf die Komplexität verzichten und die Ende-zu-Ende-Verschlüsselung vergessen, sagt Green zu «Wired». «Es ist so, als würde man die Vordertür einer Bank offen lassen und dann sagen, dass niemand sie ausrauben wird, weil es ja Sicherheitskameras gibt.» Das sei dumm.

Deine Meinung