Um die Nachrichten zu schützen, die über WhatsApp verschickt werden, setzt der Messenger-Dienst auf Verschlüsselung. Diese ist so stark, dass sie weder von Hackern noch von Geheimdiensten geknackt werden kann. Das heisst aber nicht, dass es für Unberechtigte unmöglich ist, die Nachrichten mitzulesen. So wurde gestern eine grosse Sicherheitslücke publik, die es Hackern ermöglichte, auf fremde Gruppenchats, Nachrichten und Fotos zuzugreifen.
Die von der Sicherheitsfirma Checkpoint entdeckte Lücke bestand nur für die Webversion des Messenger-Dienstes, über die auch vom Computer aus WhatsApp-Nachrichten versendet werden können. Offenbar bestand die Lücke über Monate, wurde nun aber geschlossen.
Die Schwachstelle ermöglicht es Angreifern, einen Schadcode an sein Opfer zu senden, der sich in einem harmlos aussehenden Bild verbirgt. Sobald der Nutzer das Bild anklickt, bekommt der Angreifer vollen Zugriff auf den Account des Opfers. «Ein Hacker kann auf den Nachrichtenverlauf sowie auf alle Fotos, die je geteilt wurden, zugreifen und Nachrichten im Namen des Nutzers versenden», erklärt Oded Vanunu von Checkpoint.
Ausgerechnet die End-zu-End-Verschlüsselung, die WhatsApp zur sicheren Kommunikationsplattform machen soll, war der Ursprung der Schwachstelle. Da Mitteilungen verschlüsselt werden, kann WhatsApp den Inhalt nicht sehen – und wusste damit nicht, ob dieser bösartig ist oder nicht. «Der Angriff ist clever und zeigt, dass man mit einer Verkettung von Mechanismen durchaus etablierte Schutzmassnahmen umgehen kann», sagt der Schweizer Sicherheitsexperte Marc Ruef.
Mittlerweile konnte WhatsApp das Problem beheben. Nun wird der Inhalt einer Message vor der Verschlüsselung validiert. Auf diese Weise können bösartige Dateien blockiert werden.
Bereits letzte Woche wurde die Sicherheit von WhatsApp angezweifelt, als bekannt wurde, dass die CIA offenbar über Tools verfügt, um Nachrichten mitzulesen. Allerdings wird auch da nicht die Verschlüsselung geknackt. Stattdessen nutzt der US-Geheimdienst Sicherheitslücken der Handy-Betriebssysteme, um Zugriff auf das Telefon zu haben – und damit unverschlüsselte Nachrichten zu lesen.
Update: In einer früheren Version dieses Artikels hiess es, dass auch der Messenger-Dienst Telegram vom gleichen Problem betroffen gewesen sei. Dies wird von der Entwicklerfirma bestritten. In einer Stellungnahme wird erklärt, warum die Angriffsmethode, wie sie für WhatsApp Web geschildert wird, bei Telegram nicht funktioniert habe. Checkpoint Confusion hat bislang nicht auf das Dementi reagiert.
A critical security flaw was exposed in WhatsApp today, some media wrongly claimed Telegram had the same issue. No: https://t.co/HwDLbiBvZS
— Telegram Messenger (@telegram) March 15, 2017