Ein niederländischer Entwickler hat eine Schwachstelle in WhatsApp entdeckt, die es einem Angreifer ermöglicht, abgefangene Nachrichten zu entschlüsseln. Wie Computerworld berichtet, wurde die verwendete Verschlüsselungstechnik fehlerhaft implementiert.
Das Problem sei, dass zur Verschlüsselung aus- und eingehender Nachrichtenströme derselbe Schlüssel verwendet werde, erklärte Thijs Alkemade, der an der Universität Utrecht Mathematik und Computerwissenschaften studiert. Er ist zudem einer der führenden Entwickler des Open-Source-Messaging-Clients Adium für Mac OS X.
Alkemade zufolge kann durch den Vergleich zweier Nachrichten, die mit demselben Schlüssel codiert wurden, dieser Schlüssel extrahiert werden, wenn der Text einer der Nachrichten im Klartext vorliegt. Die Wiederverwendung von Schlüsseln sei ein grundlegender Implementierungsfehler, der den WhatsApp-Entwicklern hätte bekannt sein müssen. Die Sowjetunion habe den Fehler schon in den Fünfzigerjahren gemacht und Microsoft ihn 1995 in seiner VPN-Software wiederholt.
Der Entwickler hat laut Computerworld auch Beispielcode für einen Exploit veröffentlicht, der anfänglich nur mit der Open-Source-Bibliothek WhatsPoke getestet wurde. Inzwischen hat Alkemade bestätigt, dass auch die WhatsApp-Clients für Android und Nokia Series 40 betroffen sind. „Ich glaube nicht, dass es beim iOS-Client anders ist“, sagte er.
Der Fehler lässt sich Alkemade zufolge beheben, indem WhatsApp seine Clients um eine Methode zur Generierung unterschiedlicher Schlüssel für das Senden und Empfangen von Nachrichten sowie deren Authentifizierung erweitert. Nutzer müssten davon auszugehen, dass jeder, der WhatsApp-Nachrichten abfangen könne, in der Lage sei, sie zu entschlüsseln. Das gelte auch für schon geführte Konversationen. Bis zur Veröffentlichung eines Fixes rät Alkemade von der Nutzung von WhatsApp ab.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.