Seit Ende 2014 werden Nachrichten, die mit dem Instant-Messenger-Dienst WhatsApp verschickt werden, durch Verschlüsselung vor unberechtigten Blicken geschützt. Die Sicherheitsexperten von heise security haben die WhatsApp-Verschlüsselung genauer unter die Lupe genommen. Das Ergebnis fällt ernüchternd aus.


Whatsapp

iOS-Version ohne Verschlüsselung

Die Hersteller des verschlüsselten Messengers TextSecure kündigten bereits im November 2014 an, ihre Verschlüsselungsmethode mit WhatsApp teilen zu wollen. Zuvor wurden WhatsApp-Nachrichten unverschlüsselt versendet und waren dementsprechend unsicher. Die Nachricht sorgte also bei vielen Nutzern für Erleichterung. Die Sicherheitsexperten stellten nun jedoch fest, dass WhatsApp die gesendeten Nachrichten nicht für jeden verschlüsselt.


Für den Test untersuchten die Experten von heise security den Datenstrom, der von einem Smartphone zu den Servern von WhatsApp läuft. Der Empfänger der Nachricht wurde mit einem Desktop-PC simuliert. Der Programmcode von WhatsApp war für die Sicherheitsexperten leider nicht zugänglich.

Doch sogar ohne direkten Einblick in den Quellcode ließen sich bei WhatsApp genug Unstimmigkeiten feststellen. Bei Nachrichten, die zwischen zwei Android-Geräten ausgetauscht wurden, konnte eine dauerhafte Verschlüsselung nachgewiesen werden (Ende-zu-Ende-Verschlüsselung). Beim Versenden von einem iOS-Gerät aus kamen die Nachrichten allerdings ohne Verschlüsselung von TextSecure beim Empfänger an.

Ohne Einblick in den Programmcode bleiben auch nach der Untersuchung viele Fragen offen. Es lasse sich beispielsweise nicht feststellen, ob WhatsApp zusätzlich zu der verschlüsselten noch eine nicht verschlüsselte Variante der Nachricht sendet. Es sei außerdem kein Verlass darauf, dass die WhatsApp-Nachrichten immer von Ende zu Ende verschlüsselt werden. Es könne auch nicht garantiert werden, dass der Schutz nicht in bestimmten Fällen ausgesetzt wird, wie etwa “auf Anfragen gewisser Dienste in bestimmten Ländern”, so die Spezialisten.

Verschlüsselung deaktivierbar

Die Ergebnisse lassen darauf schließen, dass die Ende-zu-Ende-Verschlüsselung von WhatsApp für bestimmte Gerätetypen deaktivierbar ist. Die Funktion kann dabei vom Nutzer aber weder überprüft noch wieder eingeschaltet werden. Eine verbindliche Zusage von WhatsApp für eine konsequente, sichere Verschlüsselung gibt es auch nicht.

“Auch unsere Labor-Tests belegen lediglich, dass das prinzipiell schon geschieht. Genug, um sich drauf zu verlassen, ist das leider nicht”, so beendet heise security den Bericht.

Teile den Artikel oder unterstütze uns mit einer Spende.
PayPal SpendeAmazon Spendenshopping

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.