bluebit

Problem wird nicht behoben

WhatsApp gehackt? Nachrichten des Web-Client manipulierbar

von Robert Klatt •

WhatsApp hat angekündigt, dass das Problem auch langfristig nicht behoben wird, da dafür die Ressourcen des Unternehmens nicht ausreichen.


0 Kommentare

Bisher galt WhatsApp dank der standardmäßig aktivierten Ende-zu-Ende-Verschlüsselung als sicher. Experten der Sicherheitsfirma Check Point haben nun eine Möglichkeit gefunden, die dazu genutzt werden kann Nachrichten trotz der Verschlüsselung zu manipulieren. Dies soll beim Web-Client des Messengers besonders einfach möglich sein. Über eine Schwachstelle von WhatsApp gelang es den Experten zitierte Chatnachrichten zu manipulieren und so Nachrichten im Namen Dritter mit anderen Inhalten zu verschicken. Laut WhatsApp ist die dabei verwendete Lücke nicht reparabel.

Der Angriff kann dann ausgeführt werden, wenn das Opfer sein Smartphone mit dem im Browser genutzten WhatsApp-Web-Client verbindet. Sollte der Angreifer das Netzwerk des Opfers durch einen bereits erfolgten Einbruch kontrollieren, kann er dann durch eine Man-in-the-Middle-Attacke die vom Smartphone zum Browser verschickten Daten manipulieren.

Dies ist möglich, da die Forscher eine Möglichkeit gefunden haben die geheimen im QR-Code enthaltenen Daten auszulesen, die für die Koppelung von Smartphone und Browser nötig sind. Anschließend können sie über das von WhatsApp genutzt protobuf2-Protokoll Daten des Messengers mitlesen.

Verschlüsselung des Messengers nicht gebrochen

Trotz der Möglichkeit die die Experten des Unternehmens Check Point gefunden haben, gilt die eigentliche Ende-zu-Ende-Verschlüsselung weiterhin als sicher. Der Angriff kann nur dann funktionieren, wenn Angreifer parallel Zugriff auf das Smartphone und den PC eines Nutzers haben. Da die Angriffsmöglichkeiten über den Browser wesentlich umfangreicher sind, kann die Verschlüsselung so umgangen werden.

In der Praxis gibt es zahlreiche Missbrauchsszenarien des Angriffs. Es ist möglich falsch „zitierte“ Nachrichten mit manipulierten Inhalten in Gruppenchats einzufügen, auch wenn die Person von der die eigentliche Nachricht stammen soll selbst kein Teil der Gruppe ist. Dieselbe Möglichkeit besteht auch bei Nachrichten die nicht an eine Gruppe, sondern an eine Einzelperson gerichtet sind.

WhatsApp wird das Problem nicht beheben

Obwohl Check Point WhatsApp vor der Veröffentlichung der Sicherheitslücke informiert hat, wird diese wohl auch langfristig bestehen bleiben. Wie ein Sprecher von WhatsApp gegenüber der New York Times erklärte, kann diese Angriffsmöglichkeit nicht verhindert werden, ohne dabei jedes verschickte Zitat separat zu validieren. Dies sei mit der vorhandenen Infrastruktur aber schlecht nicht möglich.

Laut WhatsApp wurde durch die Überprüfung der Zitate außerdem die Privatsphäre der Nutzers verletzt werden. Ein Sprecher von WhatsApp sagte gegenüber der New York Times, dass "sie sich das Problem genau angeschaut haben. Das ist das Äquivalent dessen, als würde man eine E-Mail manipulieren."

Nutzer die sich gegen die Sicherheitslücke absichern wollen, sollten auf die Nutzung des Web-Clients verzichten. Aufgrund des komplexen Angriffsweges wird es sich bei jedoch eher um ein theoretisches Problem handeln, das in er Praxis kaum Anwendung finden wird. Laut WhatsApp und dem Entdecker der Sicherheitslücke ist die Verschlüsselung von Smartphone zu Smartphone weiterhin sicher.

0 Kommentare

Kommentar verfassen