Ein niederländischer Entwickler hat eine Schwachstelle in WhatsApp entdeckt, die es einem Angreifer ermöglicht, abgefangene Nachrichten zu entschlüsseln. Wie Computerworld berichtet, wurde die verwendete Verschlüsselungstechnik fehlerhaft implementiert.
Das Problem sei, dass zur Verschlüsselung aus- und eingehender Nachrichtenströme derselbe Schlüssel verwendet werde, erklärte Thijs Alkemade, der an der Universität Utrecht Mathematik und Computerwissenschaften studiert. Er ist zudem einer der führenden Entwickler des Open-Source-Messaging-Clients Adium für Mac OS X.
Alkemade zufolge kann durch den Vergleich zweier Nachrichten, die mit demselben Schlüssel codiert wurden, dieser Schlüssel extrahiert werden, wenn der Text einer der Nachrichten im Klartext vorliegt. Die Wiederverwendung von Schlüsseln sei ein grundlegender Implementierungsfehler, der den WhatsApp-Entwicklern hätte bekannt sein müssen. Die Sowjetunion habe den Fehler schon in den Fünfzigerjahren gemacht und Microsoft ihn 1995 in seiner VPN-Software wiederholt.
Der Entwickler hat laut Computerworld auch Beispielcode für einen Exploit veröffentlicht, der anfänglich nur mit der Open-Source-Bibliothek WhatsPoke getestet wurde. Inzwischen hat Alkemade bestätigt, dass auch die WhatsApp-Clients für Android und Nokia Series 40 betroffen sind. „Ich glaube nicht, dass es beim iOS-Client anders ist“, sagte er.
Der Fehler lässt sich Alkemade zufolge beheben, indem WhatsApp seine Clients um eine Methode zur Generierung unterschiedlicher Schlüssel für das Senden und Empfangen von Nachrichten sowie deren Authentifizierung erweitert. Nutzer müssten davon auszugehen, dass jeder, der WhatsApp-Nachrichten abfangen könne, in der Lage sei, sie zu entschlüsseln. Das gelte auch für schon geführte Konversationen. Bis zur Veröffentlichung eines Fixes rät Alkemade von der Nutzung von WhatsApp ab.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
1 Kommentar zu Fehler in WhatsApp macht Verschlüsselung von Nachrichten unwirksam
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
M.E. gibt es für ein Unternehmen wie WhatsApp genau zwei Möglichkeiten.
Entweder man geht davon aus das seine Kunden nichts zu verbergen haben. Dann kann man komplett auf Verschlüsselung verzichten.
Oder man geht davon aus das man auch Kunden hat denen Privatsphäre wichtig ist. Dann sollte man bei der eingesetzten Verschlüsselung auf dem Stand der Technik sein. Ggf. muss man dafür Fachleute einstellen.
Was man bei WhatsApp über seine Kunden denkt weiß ich natürlich nicht….