Whatsapp - Sicherheitslücke bei Gruppenchats trotz End-to-End-Verschlüsselung

Sobald der Angreifer in der Gruppe ist, kann er alle neuen Nachrichten der Mitglieder lesen, abfangen und blockieren. Auch könnten Nachrichten gänzlich manipuliert werden, um zum Beispiel eine Erklärung für das neue Mitglied zu liefern.

Wie Forscher der Ruhr-Universität Bochum in einer aktuellen Veröffentlichung beschreiben, ist die Ende-zu-Ende-Verschlüsselung von WhatsApp keinesfalls so unangreifbar wie gedacht - konkret lassen sich Gruppenchats aus der Ferne belauschen. Denn um auf die Whatsapp-Server zugreifen zu können, müsste er entweder selbst bei Whatsapp arbeiten, zu einer Regierung gehören, die legal auf solche Server zugreifen kann - oder ein ziemlich guter Hacker sein. Zwar werden die Mitglieder von Gruppen-Chats über Neuzugänge informiert. Die Firma wies aber daraufhin, dass es nicht möglich sei, unbemerkt ein neues Gruppenmitglied hinzuzufügen - schließlich erhielten alle Gruppenmitglieder eine entsprechende Benachrichtigung. Vor allem der Administrator dürfte sich anschließend wundern, wer denn der Neue im Chat ist und wie er hineingekommen ist.

Bereits seit langer Zeit bietet der Messenger-Dienst WhatsApp die Option, sich mit mehreren Nutzern gleichzeitig zu unterhalten.

Auch Alex Stamos relativiert die Schwachstelle.

Gruppenchats in WhatsApp scheinen unter Umständen nicht immer sicher zu sein. Whatsapp bezeichnete die Sicherheitslücke sogar als "theoretischen Bug". Sind Nutzer oder Admins skeptisch und können die neue Person nicht identifizieren, sollte man sich in einem Zweier-Chat untereinander versichern, dass keiner diese Person hinzugefügt hat und es sich möglicherweise um einen Hacker handelt. Hacker oder Geheimdienste könnten aber auch künftige Unterhaltungen innerhalb der Gruppe unterbinden. Jeder, der darauf klickt, wird automatisch zur Gruppe hinzugefügt. Entsprechend interessant ist der Service für Betrüger und Datensammler, die in den Millionen Nachrichten, die täglich verschickt und empfangen werden, ein großes Potenzial sehen. Das ist nur möglich, wenn er zusätzlich auf das Handy eines Gruppenmitglieds zugreifen kann.

Zudem merkt Rösler an, dass die Ende-zu-Ende Verschlüsselung in Gruppen fast sinnlos sei, wenn sie vom Protokoll nicht unterstützt werde: "Und da Ende-zu-Ende Verschlüsselung genau vor Angreifern wie Staaten, Providern oder Polizei schützen soll, ist es nicht so schön, dass gerade diese in Gruppen nicht erfolgreich ausgeschlossen werden".

Ausgabe: