Die Sicherheit einer WhatsApp-Verschlüsselung ist nur in Gesprächen zwischen zwei Teilnehmern gegeben, nicht aber in Gruppenchats. Zu diesem Schluss kommt eine Gruppe von Sicherheitsforschern vom Horst-Görtz-Institut für Sicherheit in der Informationstechnik an der Ruhr-Universität Bochum. Ihre Ergebnisse haben sie auf der Konferenz Real World Crypto in Zürich vorgestellt, schreibt WIRED US.
Demnach können Angreifer in dem Moment Gruppenchats kompromittieren, in dem sie die Kontrolle über die Server von WhatsApp haben. Das setzt zwar ein hohes Maß an Hacking-Fähigkeiten voraus, ist aber denkbar und macht die Verschlüsselung zunichte: Ein vom Server in den Gruppenchat aufgenommener Beobachter könnte nach seinem Chat-Eintritt sämtliche geschriebenen Nachrichten mitlesen. Der Administrator kann das zwar beobachten und die Mitglieder der Gruppe sehen den Beitritt — dennoch ist die Sicherheitslücke gravierend.
WhatsApp selbst haben die Forscher schon im vergangenen Sommer auf das Problem hingewiesen. Der Dienst sieht dieses allerdings nicht als große Gefahr, da alle Teilnehmer sehen können, wer dem Chat beitritt. Für den Sicherheitsforscher Matthew Green ist das aber kein valides Argument: Dies wäre, als ob eine Bank kein Türschloss habe und das Argument sei, sie könne nicht überfallen werden, weil es eine Überwachungskamera gebe.
Die Forscher haben in ihrem Paper auch leichte Schwachstellen bei den Messengern Signal und Threema festgestellt. Beide Dienste haben allerdings mit Patches reagiert und die Lücken in ihrem System bereits beseitigt oder Lösungen angekündigt.