Eng Backdoor bei WhatsApp?

WhatsApp ass deen bekanntsten an meeschtgenotzten Messenger op der Welt. Als App oder als Websäit vernetzt WhatsApp iwwert eng Milliarde User mateneen. Dat zanter e puer Méint och verschlësselt. Elo ass awer eraus komm, datt d‘Implementéierung vun där Verschlësselung eng Backdoor, also eng absichtlech agebauten Schwaachstell, soll hunn.

Wat stécht genee dohannert? Bei der Manéier, mat där Messagen bei WhatsApp verschlësselt ginn, brauch all User een ëffentlechen Schlëssel. Deen muss mat engem aneren User ausgetauscht ginn, iert se verschlësselt kommunizéiere kënnen. Deen Austausch funktionéiert automatesch. Heiansdo muss de Schlëssel gewiesselt ginn, zum Beispill wann d‘Verbindung plëtzlech ofbrécht. An genee dat Erneieren vum Schlëssel notzt d‘Backdoor aus. Par default ass WhatsApp esou agestallt, datt engem néie Schlëssel automatesch vertraut gëtt. Wann een Message zwar scho fortgeschéckt, mä nach net beim Empfänger ukommen ass, gëtt deen mat dem néie Schlëssel nach eng Kéier verschlësselt. Esou wier et fir WhatsApp an eventuell och fir Geheimdengschter méiglech, un den Contenu vun verschlësselten Messagen ze kommen, ouni datt de User dat matkritt. Esou eng Attack gëtt „Man in the Middle“-Attacke genannt.

Déi Schwaachstell an der Verschlësselung ass awer keen Bug. Facebook, déi Firma zu där WhatsApp gehéiert, huet gesot, si wieren sech dem Problem bewosst a géifen en vläicht an Zukunft änneren, mä am Moment net aktiv dorunner schaffen. Verschidden Experten soen och, datt d‘Schwaachstell keen Bug wier, mä een Feature. Och Open Whispers, déi den Messenger Signal entwéckelt hunn, deen déi selwecht Verschlësselung benotzt, hunn sech zu Wuert gemeld. Signal hätt déi Schwaachstell zwar net, mä si ginn net vun enger Backdoor aus. Och WhatsApp sot, si géife keng Hannerdir fir Geheimdéngschter bereet stellen. Dozou muss een soen, datt et an deene meeschte Fäll verbueden ass, iwwert esou een Deal mat engem Geheimdéngscht iwwerhaapt ze schwätzen.

Et kann een bei WhatsApp zwar d‘Schlësselen ukucken an mat sengem Kommunikatiounspartner vergläichen, mä et gëtt keng Méiglechkeet, erauszefannen, op eng Ënnerhalung an der Vergaangenheet kompromettéiert war. Fir sech géint Man-in-the-Middle-Attacken ze schützen, kann een „security notifications“ aschalten – da gëtt een gewuer, wéini de Schlëssel ännert. Et misst een deen dann all Kéiers iwwert een aneren Kommunikatiounswee iwwerpréiwen.

Fazit: Mir wëssen net honnertprozenteg, op déi Schwaachstell, déi d‘Implementéierung vun der Verschlësselung bei WhatsApp, eng absichtlech agebauten Backdoor oder just een Feature, deen d‘User net veronséchere sollt, ass. Well et bei WhatsApp awer nach eng ganz Rëtsch aner Bedenken a Punkto Dateschutz ugeet, sollt een sech sécher Alternativen zu WhatsApp ukucken. Mir haten bei BEE SECURE virun e puer Wochen een Podcast an een Artikel dozou, déi dir op bee-secure.lu fanne kënnt.

Quellen:
http://thehackernews.com/2017/01/whatsapp-backdoor-encryption.html
http://thehackernews.com/2017/01/whatsapp-encryption-backdoor.html
https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages?CMP=twt_a-technology_b-gdntech

Creator: