Die weltweit beliebteste Messaging-App behauptet möglicherweise, eine hochsichere Festung zu sein, muss jedoch möglicherweise neu überdacht werden, nachdem eine kritische WhatsApp-Sicherheitslücke aufgedeckt wurde.
Sicherheitsforscher der Ruhr-Universität Bochum haben eine Reihe von Sicherheitslücken in verschlüsselten Messaging-Apps wie WhatsApp, Signal und Threema entdeckt. Das Team hat seine Ergebnisse diese Woche auf der Real World Crypto-Sicherheitskonferenz am Mittwoch in Zürich bekannt gegeben. Während alle drei oben genannten Apps von der einen oder anderen Sicherheitsanfälligkeit betroffen sind, scheint diejenige, die WhatsApp betrifft, die schwerwiegendste zu sein.
Laut den Forschern ermöglicht ein inhärenter Designfehler in der Facebook-eigenen Chat-App jedem, der die Kontrolle über die WhatsApp-Server hat, neue Personen in private Gruppenchats einzufügen, ohne dass eine Administratorberechtigung erforderlich ist, obwohl eine End-to-End-Verschlüsselung versprochen wird.
Während jedes Mitglied der Gruppe weiterhin Benachrichtigungen über ein neues Mitglied erhält, das der Gruppe beitritt, sagt das Team der Ruhr-Universität, dass ein intelligenter Hacker, der WhatsApp-Server kontrolliert, einige verschiedene Problemumgehungen verwenden kann, um die Erkennung zu vermeiden oder zumindest zu verzögern.
WhatsApps Antwort
Während WhatsApp die Ergebnisse der Forscher zugab, bestand ein Unternehmenssprecher in einem Telefongespräch mit Wired darauf, dass jedes bestehende Mitglied über jeden neuen Teilnehmer einer Gruppe informiert wird. "Wir haben WhatsApp entwickelt, damit Gruppennachrichten nicht an versteckte Benutzer gesendet werden können", zitierte der Bericht einen Sprecher per E-Mail über die Sicherheitslücke bei WhatsApp.
In der Zwischenzeit wies Alex Stamos, Chief Security Officer von Facebook, die Ergebnisse mit einem öffentlichen Tweet zurück.
https://twitter.com/alexstamos/status/951169174688026625
Erklären des WhatsApp-Sicherheitsfehlers
Die Probleme ergeben sich aus dem Ausmaß, in dem ein potenzieller Angreifer diese WhatsApp-Sicherheitslücke ausnutzen könnte. Sie könnten Nachrichten von Administratoren oder anderen Mitgliedern blockieren, die möglicherweise versuchen, alle auf die neuen Teilnehmer aufmerksam zu machen, indem sie Nachrichten zwischenspeichern und dann selektiv einige durchlassen. Ein kompromittierter WhatsApp-Server ermöglicht es dem Hacker auch zu entscheiden, welche Nachricht an wen gesendet wird, unabhängig von den beabsichtigten Empfängern.
In Gruppen mit mehreren Administratoren wird der Prozess etwas schwieriger. Um sich als legitime Teilnehmer einer Gruppe zu präsentieren, muss der Mann in der Mitte jedem Administrator unterschiedliche Nachrichten senden, damit es so aussieht, als hätte ein anderer eingeladen sie zur Gruppe. Ebenso alarmierend ist die Behauptung, dass der Hacker selbst nach seiner Entdeckung als ungebetener Gast verhindern kann, dass er aus der Gruppe ausgeschlossen wird.