Heise.de hat sich die Verschlüsselung von WhatsApp angesehen und festgestellt, dass nicht immer End-zu-End verschlüsselt wird. Laut WhatsApp soll nicht nur der Transport verschlüsselt werden, sondern auch per vorbildlicher TextSecure-Verschlüsselung End-zu-End (E2E) bei Android Geräten.
Mit Hilfe eines Zusatzmoduls für WireShark durchleuchteten die Kollegen die Datenpakete.
Der Versuchsaufbau: Das Smartphone sendet eine Nachricht an yowsup auf einem Desktop-Rechner. Auf dem Weg zum WhatsApp-Server werden die Daten auf dem Laptop mit Wireshark mitgeschnitten und dann weiter geschickt.
WhatsApp benutzt für die Transportverschlüsselung den RC4-Algorithmus, der als geknackt angesehen werden muss. Dabei wird für beide Kommunikationsrichtungen der gleiche, aus einem Benutzerkennwort abgeleitete Schlüssel verwendet.
Sollte keine End-zu-End Verschlüsselung eingesetzt werden, können die Nachrichten auf den WhatsApp-Servern entschlüsselt und ausgewertet werden.
Das Team von Heise bemerkte folgende Punkte beim Test:
- Es wurden bei einer E2E-Verbindung keine weiteren Daten versendet
- Man konnte nicht feststellen, ob bei jeder möglichen E2E Verbindung sicher verschlüsselt wurde, da auch eine Aussetzung nach bestimmten Kriterien möglich sei – z.B. Anfragen gewisser Dienste oder bestimmte Länder
- Solche Kriterien muss es geben, da Nachrichten an ein iOS-Gerät direkt unverschlüsselt versendet werden
- Ob die Schlüssel auf dem Gerät verbleiben, konnte nicht nachvollzogen werden
- Diese sind aber eh nicht von Belang, da WhatsApp jedem Client jederzeit signalisieren kann, ab sofort unverschlüsselt zu senden (Anm: dies stellt auch einen weiteren Angriffspunkt dar)
- Für den Endbenutzer ist es nicht ersichtlich, wann verschlüsselt wird
Nähere Informationen findet man im Hintergrundartikel von Heise Security.
Pingback: Electronic Frontier Foundation Report: WhatsApp fällt durch | BB10QNX.de