WhatsApp verschlüsselt nicht mit allen Clients

Heise.de hat sich die Verschlüsselung von WhatsApp angesehen und festgestellt, dass nicht immer End-zu-End verschlüsselt wird. Laut WhatsApp soll nicht nur der Transport verschlüsselt werden, sondern auch per vorbildlicher TextSecure-Verschlüsselung End-zu-End (E2E) bei Android Geräten.

Mit Hilfe eines Zusatzmoduls für WireShark durchleuchteten die Kollegen die Datenpakete.

Der Versuchsaufbau: Das Smartphone sendet eine Nachricht an yowsup auf einem Desktop-Rechner. Auf dem Weg zum WhatsApp-Server werden die Daten auf dem Laptop mit Wireshark mitgeschnitten und dann weiter geschickt.

http://3.f.ix.de/security/imgs/07/1/4/8/0/5/1/9/mitm-62cd23d7bd97ccb4.png
Heise WhatsApp Versuchsaufbau

WhatsApp benutzt für die Transportverschlüsselung den RC4-Algorithmus, der als geknackt angesehen werden muss. Dabei wird für beide Kommunikationsrichtungen der gleiche, aus einem Benutzerkennwort abgeleitete Schlüssel verwendet.

Sollte keine End-zu-End Verschlüsselung eingesetzt werden, können die Nachrichten auf den WhatsApp-Servern entschlüsselt und ausgewertet werden.

Das Team von Heise bemerkte folgende Punkte beim Test:

  • Es wurden bei einer E2E-Verbindung keine weiteren Daten versendet
  • Man konnte nicht feststellen, ob bei jeder möglichen E2E Verbindung sicher verschlüsselt wurde, da auch eine Aussetzung nach bestimmten Kriterien möglich sei – z.B. Anfragen gewisser Dienste oder bestimmte Länder
  • Solche Kriterien muss es geben, da Nachrichten an ein iOS-Gerät direkt unverschlüsselt versendet werden
  • Ob die Schlüssel auf dem Gerät verbleiben, konnte nicht nachvollzogen werden
  • Diese sind aber eh nicht von Belang, da WhatsApp jedem Client jederzeit signalisieren kann, ab sofort unverschlüsselt zu senden (Anm: dies stellt auch einen weiteren Angriffspunkt dar)
  • Für den Endbenutzer ist es nicht ersichtlich, wann verschlüsselt wird

Nähere Informationen findet man im Hintergrundartikel von Heise Security.

Forumsdiskussion

Dieser Beitrag hat einen Kommentar

Schreibe einen Kommentar