Eine Sicherheitslücke erlaubt, dass verschlüsselte Nachrichten doch mitgelesen werden können. WhatsApp weiß davon, will gegenwärtig aber laut Sicherheitsexperten Tobias Boelter nichts dagegen unternehmen.
Der von Beginn an für seine laschen Sicherheitsvorkehrungen kritisierte Messenger-Dienst WhatsApp führte 2016 eine Ende-zu-Ende-Verschlüsselung ein. Damit sollten Nutzer vor Überwachung geschützt sein, denn nicht einmal WhatsApp oder Facebook könnten die Nachrichten lesen. Wie sich nun herausstellt, scheint es sich um ein Lippenbekenntnis gehandelt haben. Denn im April 2016 entdeckte der Sicherheitsforscher Tobias Boelter von der University of California eine Lücke, die dem Unternehmen sehr wohl wieder Zugriff auf die Nachrichten der Nutzer gibt.
Boelter informierte das Mutterunternehmen Facebook. Einen Monat später erhielt er dann Antwort von WhatsApp. Jedoch eine, die er nicht erwartet hatte. WhatsApp teilte mit, dass der Sachverhalt bekannt wäre, aber die Lücke gegenwärtig nicht beheben wolle.
Eine breitere Öffentlichkeit bekamen die Entdeckungen von Boelter erst durch einen Bericht des britischen "Guardian". In Hamburg präsentierte Boelter auf der 33C3 die Sicherheitslücke. Demnach verschickt WhatsApp eine nicht zugestellte Nachricht automatisch erneut, wenn dem Sender in der Zwischenzeit ein neuer öffentlicher Schlüssel des Adressaten mitgeteilt wird. Hierbei ist aber nicht garantiert, dass die Nachricht an jene Person geht, die ursprünglich angeschrieben wurde. Hier kann sich ein Angreifer nämlich dazwischenschalten. Es könnte auch WhatsApp den Schlüssel selbst neu erstellt haben und damit die neue Zusendung ausgelöst haben.
(bagre)