Groß war der Jubel im April vergangenen Jahres, als WhatsApp seinen Messenger mit einer End-To-End-Encryption verschlüsselte. Nachrichten, Fotos, Sprachaufzeichnungen und Videos sollten dank Open Whisper Systems, dessen Programmierer auch schon die Signal-App entwickelt haben, vor Dritten sicher sein. Die Kommunikation vertraulich zwischen Sender und Empfänger.
Doch könnte das Sicherheitssystem von WhatsApp versagt haben? Der Kryptologe Tobias Boelter von der Universität Berkeley will eine Sicherheitslücke in dem Messenger gefunden haben. Über eine Hintertür sollen Dritte Zugriff auf Chat-Daten bekommen, das berichtete der Guardian kürzlich.
Eine Gruppe von Verschlüsselungsexperten und Sicherheitsforschern hat dieser Darstellung nun mit einem offenen Brief widersprochen. Die Erkenntnisse eines einzelnen Forschers seien quasi ungeprüft übernommen worden. „Das, was Sie beschreiben, ist keine Hintertür“ und schon gar keine „Sicherheitslücke“, schreiben so namhafte Experten wie der IT-Forensiker Jonathan Zdziarski und der Kryptografie-Professor Matthew Green.
Der Guardian berichtete: Durch die neu entdeckte Backdoor solle die Messenger-App die Möglichkeit haben, immer dann, wenn Nutzer offline sind, neue Schlüssel für Nachrichten zu generieren. Wenn Chatnachrichten noch nicht zugestellt wurden, könnte der Absender so unwissentlich dazu gezwungen werden, diese mit neu erstelltem Code nochmals zu verschicken.
Während der Empfänger über eine erneute Verschlüsselung keinerlei Info erhalte, werde der Absender nur dann darüber in Kenntnis gesetzt, wenn er in seinen WhatsApp-Einstellungen die Sicherheits-Benachrichtigungen aktiviert habe. Allerdings erst nachdem die Nachricht verschickt wurde.
Verschlüsselung funktioniert so
Im offenen Brief der Experten, den die Journalistin Zeynep Tufekci initiiert hatte, heißt es, die so beschriebene Vorgehensweise sei ein einkalkuliertes Feature dessen „eher unwahrscheinliche negative Folge“ hinter dem Positiven zurückfalle, das es ermögliche: Sichere Kommunikation. Einen Missbrauch dieser Funktion durch WhatsApp oder Strafermittlungsbehörden könnte jeder schnell erkennen, argumentieren die Briefunterzeichner, da es möglich sei, Sicherheitswarnungen zu aktivieren für den nachträglichen Schlüsseltausch.
Auch Open Whisper Systems, zuständig für den Messenger Signal, dessen Verschlüsselungsprotokoll WhatsApp nutzt, hatte die Darstellung des Guardian kritisiert: „Die Tatsache, dass WhatsApp Schlüsseländerungen erlaubt, ist keine ‚Hintertür‘, Verschlüsselung funktioniert so.“ Jeder Versuch des Servers, Nachrichten abzufangen, könne aufgedeckt werden, „genau wie bei Signal, PGP oder jedem anderen Ende-zu-Ende verschlüsselten Kommunikationssystem“.
Der Guardian hat inzwischen die Überschrift seines Artikels geändert: Aus „Hintertür“ ist nun „Schwachstelle“ geworden
Erst vor Kurzem sorgte WhatsApp bei europäischen Datenschützern für Aufsehen. Nach der Übernahme durch Facebook hatte WhatsApp Ende August vergangenen Jahres angekündigt, die Telefonnummern seiner Nutzer an den Mutterkonzern weiterzugeben. Nach heftiger Kritik verabschiedete sich das Unternehmen aber erst einmal wieder von diesem Vorhaben.
