Sicherheitsexperten haben Lücken in der von Whatsapp verwendeten Verschlüsselung entdeckt.
Die Sicherheitsexperten von Check Point Software Technologies haben auf der Sicherheitskonferenz Black Hat in Las Vegas drei von ihnen entdeckte Schwachstellen in der Whatsapp-Verschlüsselung vorgestellt. Bei den Nachforschungen zu den Schwachstellen wurde ein Werkzeug entwickelt, für welches die von Whatsapp verwendete Verschlüsselung nachgebaut wurde.
Die Recherche ergab, dass Whatsapp für die Entschlüsselung der Kommunikation im Nachrichtenmodul das „protobuf2“-Protokoll verwendet. Bei Konvertierung der protobuf2-Daten in Json könnten Angreifer diese auf drei Arten manipulieren, und zwar wie folgt:
Verwenden der Zitier-Funktion in einem Gruppengespräch, um die Identität des Zitatgebers zu ändern, selbst dann, wenn diese Person kein Mitglied der Gruppe ist.
Änderung der Antwort eines anderen Teilnehmers, um ihm unbemerkt andere Wörter in den Mund zu legen.
Versenden einer privaten Nachricht an einen anderen Gruppenteilnehmer, die aber als öffentliche Nachricht getarnt ist. Antwortet die Zielperson, ist die Nachricht für alle Teilnehmer des Gespräches sichtbar.
In dem folgenden Video werden diese Manipulationen gezeigt:
Facebook hat bisher nur eine der drei Schwachstellen in Whatsapp behoben. „Nummer eins und zwei liegen weiterhin offen; nach der Aussage von Facebook aufgrund von ‚infrastructure limitations on Whatsapp‘ – Genaueres ließ der Anbieter nicht verlauten“, heißt es in einer Mitteilung per Mail von Check Point Software. Die Entdecker der Sicherheitslücken weisen darauf hin, dass zur Umgehung der Whatsapp-Verschlüsselung ein spezielles selbst entwickeltes Werkzeug zum Einsatz kam. Dieses Werkzeug wolle man nun frei zur Verfügung stellen, um, so heißt es, „den Fokus stärker auf diese Schwachstellen zu lenken“.