WhatsApp Schwachstelle: Computerwissenschaftler rät von Nutzung aufgrund mangelnder Verschlüsslung ab

Aufgrund einer Sicherheitslücke, die es Angreifern erlaubt, abgefangene Nachrichten zu entschlüsseln, rät der niederländische Computerwissenschaftler Thijs Alkemade von der Nutzung von WhatsApp ab. Anwender müssten davon ausgehen, dass jeder, der WhatsApp-Nachrichten abfangen könne, auch in der Lage sei, sie zu entschlüsseln.

WhatsApp ist wohl der beliebteste Messenger überhaupt. Der sicherste ist er aber nicht, wie ein niederländischer Computerwissenschaftler wieder einmal beweist. Er hat eine neue Schwachstelle in WhatsApp entdeckt, die es Hackern ermöglicht, abgefangene Nachrichten zu entschlüsseln.

WhatsApp Schwachstelle: Computerwissenschaftler rät von Nutzung aufgrund mangelnder Verschlüsslung ab (Screenshot: Jennifer Van Grove/CNET.com)

Aufgrund einer Sicherheitslücke, die es Angreifern erlaubt, abgefangene Nachrichten zu entschlüsseln, rät der niederländische Computerwissenschaftler Thijs Alkemade von der Nutzung von WhatsApp ab (Screenshot: Jennifer Van Grove/CNET.com).

Nutzer müssten davon ausgehen, dass jeder, der WhatsApp-Nachrichten abfangen könne, auch in der Lage sei, sie zu entschlüsseln. Das gelte auch für schon geführte Konversationen. Bis zur Veröffentlichung eines Fixes rät er von der Nutzung von WhatsApp ab.

Laut der Webseite Computerworld ist die fehlerhaft implementierte Verschlüsselungstechnik das Problem, da zur Verschlüsselung aus- und eingehender Nachrichtenströme derselbe Schlüssel verwendet wird. Herausgefunden hat dies Thijs Alkemade, der führende Entwickler des Open-Source-Messaging-Clients Adium für Mac OS X, der an der Universität Utrecht Mathematik und Computerwissenschaften studiert.

Alkemade zufolge kann durch den Vergleich zweier Nachrichten, die mit demselben Schlüssel codiert wurden, der Schlüssel extrahiert werden, wenn der Text einer der Nachrichten im Klartext vorliegt. Die Wiederverwendung von Schlüsseln sei ein grundlegender Implementierungsfehler, der den WhatsApp-Entwicklern hätte bekannt sein müssen. Die Sowjetunion habe den Fehler schon in den Fünfziger Jahren gemacht und Microsoft habe ihn 1995 in seiner VPN-Software wiederholt.

Der Entwickler hat laut Computerworld auch Beispielcode für einen Exploit veröffentlicht, der anfänglich nur mit der Open-Source-Bibliothek WhatsPoke getestet wurde. Inzwischen habe Alkemade bestätigt, dass auch die WhatsApp-Clients für Android und Nokia Series 40 betroffen seien. “Ich glaube nicht, dass es beim iOS-Client anders ist”, sagte er.

Der Fehler lässt sich Alkemade zufolge beheben, indem WhatsApp seine Clients um eine Methode zur Generierung unterschiedlicher Schlüssel für das Senden und Empfangen von Nachrichten sowie deren Authentifizierung erweitert. Mit einer schnellen Lösung des Problems rechnet er jedoch nicht.

[Mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

4 Kommentare zu WhatsApp Schwachstelle: Computerwissenschaftler rät von Nutzung aufgrund mangelnder Verschlüsslung ab

  • Am 10. Oktober 2013 um 11:26 von Martin79

    Stimmt, WhatsApp sollte man wirklich meiden! Ich finde die Vorstellung erschreckend, dass jemand die üblichen Witzchenbilder entschlüsselt oder die Info, ob wir uns im Kino die erste oder erst die spätere Vorstellung anschauen.
    Mal ehrlich, wer versendet über WhatsApp Nachrichten, die den Aufwand der Entschlüsselung nur annähernd lohnen!?

    • Am 13. Oktober 2013 um 13:13 von wenziger-schmidt

      Ich habe damal ne frage wie kann ich von mein mann die whatsapp nachricht abfangen, so das die auf mein handy kommen wenn er eine whatsapp schreibet,ich habe gehört das so was gehen soll.

  • Am 10. Oktober 2013 um 12:35 von Eddi

    Für den Laien klingt das so einfach, als könnte jeder Depp alle Nachrichten entschlüsseln… Als aller erstes braucht man Zugriff zu den Daten und wenn man den hat ist es 1000x interessanter Mails, Webseiten besuche o.ä. mitzuschneiden als „wann treffen“ „um 17:30 Uhr bar an der Ecke“ zu lesen. Davon abgesehen braucht er 2 gleiche Nachrichten um herauszufinden wie der Schlüssel ist, ich bezweifle, dass ein smiley da ausreichend ist… Und wie oft schreiben sich 2 Personen gegenseitig den selben Satz? Also bevor das nicht wenigstens ein mal praktisch bewiesen wurde ist das hier theoretischer dünpfiff… (bei seinen gestellten Tests kann das ja durchaus einfach gewesen sein)

    Zuletzt sollte man sich auch bei einem top verschlüsselten Dienst nie sicher sein und keine besonders persönlichen Sachen verschicken, bei terrorverdacht bekommen die USA wie es aussieht, mit drastischen Mitteln, jeden key vom Anbieter (z.B. 5000 USD Strafe jeden Tag bis er ihn herausgibt)

  • Am 12. Oktober 2013 um 18:58 von David

    Der gleiche Satz wird häufig gesendet. Schon mal „Hi“ geschrieben?

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *