WhatsApp: Schwere Sicherheitslücke in Gruppenchats entdeckt

Durch eine Sicherheitslücke könnten Gruppen um neue Nutzer erweitert werden

Wie ein Team von Forschern der Ruhr Universität Bochum laut einem Bericht von Techcrunch entdeckte, ist es Menschen mit Zugriff auf einen WhatsApp Server theoretisch möglich, unerlaubt Nutzer zu fremden Gruppenchats hinzuzufügen.

Frieder Steinmetz sagt: "Hier wird sehr deutlich, dass WhatsApp nie mit Ende-zu-Ende-Verschlüsselung im Sinn entworfen wurde. Ist das nicht der Fall, ist der Nutzen der Verschlüsselung sehr gering".

Vergrößern Durch eine Sicherheitslücke könnten Gruppen um neue Nutzer erweitert werden. Diese ermöglicht es Dritten, sich unbemerkt in Gruppen einzuschleusen und die dortigen Nachrichten mitzulesen - zumindest in der Theorie. Das Hinzufügen unsichtbarer Nutzer in eine Gruppe sei auch weiterhin nicht möglich. Allerdings prüft Whatsapp nicht, ob es wirklich der Administrator war, der jemanden in eine Gruppe eingeladen hat.

Genau aus diesem Grund sollte in einer vorbildlich verschlüsselten Kommunikation auch ein kompromittierter Server keine Gefahr für die Gesprächsteilnehmer darstellen. Diese sollen über die Gruppenlinks von WhatsApp zufällige Gruppen beitreten können. Ein Angriff ist also nur technisch extrem versierten Profis möglich. Normale Eins-zu-eins-Chats sind von der Verschlüsselung weiter geschützt. Authentifizierungsmechanismen, die nicht vom WhatsApp-Server umgangen werden könnten, gibt es nicht. Zwar werden die Mitglieder von Gruppen-Chats über Neuzugänge informiert.

Hat sich eine Person erst einmal Zugriff zur Gruppe verschafft, kann er unbehelligt alle darauffolgenden Nachrichten lesen, jedoch nicht die, welche vorher geschrieben wurden. Vor allem der Administrator dürfte sich anschließend wundern, wer denn der Neue im Chat ist und wie er hineingekommen ist. "Die Benachrichtigung, dass ein neuer Teilnehmer hinzugefügt wurde, kann er aber nicht verbergen". Auch Mitarbeiter von WhatsApp oder Regierungen, die das Unternehmen rechtlich dazu zwingen können, den Zugang zu gewähren, hätten eine solche Möglichkeit.

Auch Alex Stamos relativiert die Schwachstelle. Er ist bei Whatsapps Mutterfirma Facebook für die Sicherheit verantwortlich. Jeder, der darauf klickt, wird automatisch zur Gruppe hinzugefügt. Außerdem fordern sie eine ausreichende End-to-End-Verschlüsselung der Nachrichten, wie sie bereits bei Einzelnutzern zum Einsatz kommt.

Dem Paper zufolge befinden sich auch in Threema und Signal teils ähnlich gravierende Sicherheitslücken in der Gruppenchat-Funktion.

Whatsapp wirbt mit einer End-to-End-Verschlüsselung, die in Gruppenchats aber ihre Wirkung nicht richtig entfaltet. "Und je größer die Gruppe, desto länger kann es dauern, bis der Eindringling entdeckt wird", so der Forscher.

Related:

Comments

Latest news

Nach 57 Jahren: Die Queen braucht neue Unterwäsche
Wohl kaum ein royaler Fan hat sich jemals Gedanken über die Unterwäsche von Queen Elizabeth gemacht. Jetzt wurde bekannt: June Kenton ist die längste Zeit eine royale Schlüpferausstatterin gewesen.

Polizei stoppt Transport von US-Panzern in Sachsen
Zudem fehlten der Transportkolonne Begleitfahrzeuge und einige der Fahrer hatten ihre Lenk- und Ruhezeiten bereits überschritten. Am Dienstagabend hat die Verkehrspolizei auf der A4 im sächsischen Bautzen einen US-Panzertransport gestoppt.

Mats und Cathy Hummels haben einen Sohn
Den Namen des Kleinen verriet der 29-Jährige nicht, auch das Gesicht des Kleinen deckte er auf dem Foto mit einem Baby-Emoji ab. Sein Verein gratulierte am Donnerstag "Papa Mats".

Dark Souls und weitere Spiele für Nintendo Switch angekündigt
Laut mehreren Quellen , sowohl Entwicklern als auch Händlern, soll Nintendo noch heute ein Nintendo Direct Mini veröffentlichen. Im späteren Tagesverlauf soll Dark Souls Remastered ebenfalls für alle anderen aktuellen Plattformen angekündigt werden.

Bayer schlägt größeres Covestro-Paket los als geplant
Bayer hatte Covestro 2015 an die Börse gebracht und im März 2017 mit dem geplanten Komplettausstieg begonnen. Ein Grund dafür könnte der höher als angepeilte Geldzufluss durch die Covestro-Platzierung sein.

Other news