WhatsApp Sicherheitslücke? Interview mit Tobias Boelter bei Geekweek vom BR

Der deutsche Sicherheitsforscher Tobias Boelter, Doktorand an der UC Berkekey, fand schon im April 2016 durch Zufall heraus, dass die End-zu-End-Verschlüsselungstechnologie bei WhatsApp eine Sicherheitslücke aufweist, die es anscheinend ermöglicht, Inhalte mitzulesen. Da sich auf unserer KMU-digital-Fanpage unter unseren Fans eine Diskussion zu meinem zuerst geschrieben Beitrag zum Thema entwickelt hat, ergänze ich nun diesen ersten Beitrag.

In den letzten Tagen gab es in vielen Medien und Portalen weitere Diskussionen. Am 18. Januar 2017 titelt etwa die Hamburger Morgenpost „Jetzt reicht’s – Wieder Sicherheitslücke!„. Um ein wenig Klarheit in die allgemeine Verwirrung zu bringen, dient vielleicht dieses Audio-Interview mit Tobias Boelter vom 14.1.17. Er sprach mit dem Techpodcast Geekweek vom Bayrischen Rundfunk. Das Interview ist unten in diesem Beitrag direkt verlinkt – die Inhalte habe ich zuvor so genau wie möglich zusammengefasst.

Zur Vorgeschichte

Die britische Zeitung „The Guardian“ veröffentlichte am 13. Januar 2017 einen Beitrag mit der Behauptung, WhatsApp hätte eine Hintertür, um auf Nachrichteninhalte zuzugreifen. Seitdem ist eine Debatte in vielen internationalen Medien darüber ausgebrochen, ob das so stimmt, und wenn ja, welche Konsequenzen damit verbunden sind. Schließlich nutzen auch Unternehmen, Behörden und andere sensible Organisationen WhatsApp zur schnellen Kommunikation – kann das überhaupt noch verantwortet werden?

Der Sicherheitsexperte Tobias Boelter hatte schon im April 2016 Facebook auf das Problem hingewiesen und in seinem Blog darüber berichtet. Doch bisher hat das Unternehmen noch nichts dagegen unternommen. Worum geht es genau?

Worum genau es geht

Archivierte Nachrichten, die der Adressat schon gelesen hat (2 Häkchen), können tatsächlich nicht entschlüsselt werden. Bei dieser Sicherheitslücke hingegen geht es um die Möglichkeit, die Kommunikation zwischen 2 Leuten zu entschlüsseln, solange die Nachricht nur ein Häkchen hat – also noch nicht vom Empfänger gelesen wurde. Herausgefunden hat Tobias Boelter das durch Zufall, weil er sich im April 2016 selbst eine sensitive WhatsApp Nachricht auf ein zweites Handy von sich gesendet hatte. Auf seinem dritten Handy konnte er plötzlich (nach Wechseln der SIM-Karte) die Nachricht lesen, was eigentlich nicht hätte sein dürfen. Stutzig geworden, verfolgte er die Ursachen und entdeckte die „Hintertür“.
Hier der Blogpost von Tobias Boelter vom 16.4.16

Er meldete direkt im April diese Lücke an Facebook in der Annahme, diese sehr relevante Sicherheitslücke sei ein Fehler. Zuerst antwortete Facebook, dass dies eine erwünschte Funktion ist – wohl, weil sie die Anfrage nicht richtig verstanden hatten (vermutet Boelter). Später antworteten sie, dass ihnen die Lücke bekannt ist, und dass sie eventuell bald die Lücke fixen wollten.

Boelter kritisiert in dem Interview, dass danach nichts passierte, und dass von Facebook wissentlich seit mindestens einem dreiviertel Jahr gegen das Versprechen verstoßen wird, die End-zu-End-Verschlüsselung anzubieten. Um es auf den Punkt zu bringen: Wenn der WhatsApp-Server dem Empfänger nicht die Nachricht direkt weitersendet (zweiter Haken kann gesetzt werden), kann der Inhalt der Nachricht vom WhatsApp-Server aus „abgegriffen“ werden.

Angriffe auch von außen möglich?

Eingeschränkt kann so ein Angriff übrigens auch von extern ausgeführt werden – solange der Empfänger noch nicht den zweiten Haken gesetzt hat. Doch das ist schwierig umzusetzen, weil kein Einfluss darauf genommen werden kann, dass der Empfänger die Zusendung noch nicht sieht. Er müsste schon offline sein, damit so ein externer Angriff klappt. Der durch die Sicherheitslücke mögliche Angriff kann also hauptsächlich von Behörden, vom Unternehmen Facebook, oder von  anderen Partnern und Stellen ausgeführt werden, die direkten Zugriff auf den WhatsApp Server haben.

Facebook und Open Whisper Systems (Anbieter des Verschlüsselungssystems) meinen übereinstimmend, diese „Hintertür“ bei WhatsApp sei für den Nutzer ein Vorteil, weil es die Usability für die Nutzer verbessert. Doch das macht in den Augen von Tobias Boelter nur in einem sehr speziellen Spezialfall Sinn: Wenn jemandem eine Nachricht zugesendet wird, und der Empfänger vor dem Empfang (zweites Häkchen) z.B. „sein Handy im Ozean ertränkt“ hat. Ohne diese Hintertür würde der Adressat stattdessen die Nachricht bekommen, er müsse die Nachricht erneut senden, da der Empfänger sie nicht empfangen kann (weil das Handy ja weg ist). So hat es auch Open Whisper Systems bei eigenen Messenger „Signal“ umgesetzt. Dort gibt es diese Hintertür nicht.

Wenn Facebook die Lücke schließen würde, würde es eine Nachricht auf Senderseite geben „Hier ist ein neuer Schlüssel – möchtest Du die Nachricht mit diesem neuen Schlüssel erneut senden?“. Dann könnte man die Nachricht erneut senden.

Die Frage ist, wie WhatsApp nun, wo das Thema öffentlich diskutiert wird, reagieren wird. Werden sie nun das Problem beheben und die Lücke schließen? Oder werden sie das Verfahren rechtfertigen und beibehalten?

Wie es zur Medienaufmerksamkeit im Januar 2017 kam

Tobias wundert sich, dass seine Entdeckung ein dreiviertel Jahr für Facebook kein Thema war. Erst im Januar 2017 bekam Tobias fünf Minuten Redezeit auf dem 33C3 in Hamburg – und danach Gespräche mit Journalisten – auch mit dem Guardian. Das trat die Lawine los. An sich ist Tobias Boelter übrigens nicht Experte für Schwachstellen, sondern für Sicherheitslösungen. Er selbst nutzt nun als Messenger Signal von Open Whisper Systems. Für ihn ist aus kryptologischer Sicht der Messenger das beste System zurzeit. Er hat auch seine Freunde eingeladen, mit ihm über „Signal“ zu kommunizieren.
Hier der Link zu Open Whisper Systems und der Messneger App „Signal“ – für iOS und Android

Hier das Audiointerview mit Tobias Boelter beim Geekweek Podcast vom BR – am 14.1.17, zum Download wahlweise als mp3 und m4a über die kleine „Download Episoden Wolke“ links im Player.