Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.702.466 Produkten

Fabian A. Scherschel 130

WhatsApp und Signal: Forscher beschreiben Schwächen verschlüsselter Gruppenchats

WhatsApp

Bild: dpa, Arno Burgi

Zwar ist die Ende-zu-Ende-Verschlüsselung bei WhatsApp und Signal sicher, das Drumherum lässt aber eventuell zu wünschen übrig. So wird ein von Spionen gekaperter Kontrollserver mitunter zur Schwachstelle.

Trotz sicherer Ende-zu-Ende-Verschlüsselung bei Signal und WhatsApp können Angreifer unter Umständen Nachrichten in Gruppenchats entschlüsseln, wenn sie Zugriff auf die Kontrollserver haben. Das beschreiben drei Forscher der Ruhr-Universität-Bochum in einer wissenschaftlichen Abhandlung zu Gruppenchats bei den Ende-zu-Ende verschlüsselnden Messengern Signal, WhatsApp und Threema. Dabei handelt es sich allerdings um rein theoretische Angriffe, die auch auf andere Messenger angewendet werden könnten, die ähnlich funktionieren.

Anzeige

Ende-zu-Ende-Verschlüsselung sicher umzusetzen ist alles andere als trivial, schon wenn nur zwei Anwender betroffen sind. Ziel ist es, dass nur die beiden Gesprächspartner den Inhalt der verschlüsselten Nachrichten lesen können. Der Kontrollserver des App-Anbieters bleibt außen vor – er könnte immerhin von Angreifern (mit oder ohne Gerichtsbeschluss) kontrolliert werden. Bei Gruppenchats wird die Sache noch viel komplizierter, da das System die Nachrichten zwischen dem Absender der Nachricht und allen Empfängern in der Gruppe verschlüsseln muss.

Dabei kann die Verschlüsselung noch so sicher sein, wenn ein Angreifer es mit Hilfe der Serverinfrastruktur schafft, Mitglied der Gruppe zu werden, kann er alle Nachrichten lesen, die an die Gruppe verschickt werden. Und genau da setzen die theoretischen Angriffe der Bochumer Forscher an. Am einfachsten ist das bei Signal, da dessen Gruppenchat-Protokoll alle Gruppenangehörigen als Administrator behandelt. Laut den Forschern braucht ein Angreifer demnach nur die interne Gruppen-ID und eine Telefonnummer eines Gruppenmitglieds, um Zugang zu Entschlüsselungs-Keys zu erhalten und Gruppenchats mitzulesen.

WhatsApp übernimmt zwar die zugrundeliegende Ende-zu-Ende-Verschlüsselung von Signal, setzt aber die darauf aufbauende Gruppenchat-Infrastruktur anders um. Deshalb ist es hier schwieriger, in eine beliebige Gruppe einzudringen, so die Forscher. Der Angreifer braucht dafür Kontrolle über den Kontrollserver des Messengers. Das ist zwar nicht trivial, da Ende-zu-Ende-Verschlüsselung aber eigentlich genau vor einem solchen Szenario schützen soll, trotzdem ein ernstzunehmender Angriff. Schließlich könnte WhatsApp-Besitzer Facebook per US-Gesetz verpflichtet werden, Ermittlungsbehörden im Geheimen Zugriff zu den entsprechenden Servern zu geben.

Die theoretischen Angriffe unterstreichen die Kritik, die Krypto- und Open-Source-Puristen schon seit Langem an Signal und WhatsApp äußern: dass alle diese Dienste ihre eigenen Server voraussetzen. Das nimmt sicherheitsbewussten Admins die Möglichkeit, eigene Server für ihre Nutzer aufzusetzen. Wenn Nachrichten in Gruppenchats trotz funktionierender Ende-zu-Ende-Verschlüsselung trotzdem mitgelesen werden können, müssen die Anwender wieder dem Dienstanbieter vertrauen. Oder Gruppenchats grundsätzlich für sensible Konversationen meiden.

Bei Threema sehen die Forscher übrigens nur die Möglichkeit, verschlüsselte Nachrichten in Gruppen erneut zu versenden (lesen können sie diese Nachrichten nicht). Der Angreifer muss dafür ebenfalls die Hoheit über den Kontrollserver haben.

tipps+tricks zum Thema:

(fab)
Anzeige

130 Kommentare

Themen:

Anzeige
  1. Skype-Chats mit Ende-zu-Ende-Verschlüsselung

    Skype-Chats mit Ende-zu-Ende-Verschlüsselung

    Was WhatsApp schon längst kann, soll künftig auch Skype können: Die Insider-Version unterstützt Ende-zu-Ende-verschlüsselte Chats. Für die "Privaten Unterhaltungen" kommt das Protokoll von Signal zum Einsatz. Es gibt aber einige Einschränkungen.

  2. WhatsApp: Bug erlaubt Einblick in verschlüsselte Nachrichten

    WhatsApp: Bug erlaubt Einblick in verschlüsselte Nachrichten

    Seit einem Jahr werden Nachrichten auf WhatsApp Ende-zu-Ende verschlüsselt, wodurch nicht einmal der Betreiber sie lesen kann. Durch eine Besonderheit bei der Implementierung kann das aber wohl umgangen werden, was Sicherheitsbehörden ausnutzen könnten.

  3. Krypto-Experte: Keine Backdoor in WhatsApp

    WhatsApp

    Eine Schwachstelle in der Verschlüsselung von WhatsApp wurde vorschnell als "Backdoor" kolportiert. Jetzt hat der Entwickler des Verfahrens eine Stellungnahme veröffentlicht.

  4. Schwere Sicherheitslücke in den Web-Oberflächen von WhatsApp und Telegram geschlossen

    Schwere Sicherheitslücke in den Web-Oberflächen von WhatsApp und Telegram

    Lücken bei WhatsApp Web und Telegram Web erlauben es Angreifern, die Web-Sessions der Messenger zu kapern. Auf diesem Wege können sie Nachrichten mitlesen, Adressbücher kopieren und Schadcode an Kontakte verschicken.

  1. Test: Hinter den Kulissen der WhatsApp-Verschlüsselung

    Test: Hinter den Kulissen der WhatsApp-Verschlüsselung

    WhatsApp verschlüsselt schon länger Ende-zu-Ende mit dem bei Krypto-Experten angesehenen Signal-Protokoll – jedenfalls manchmal. Verlassen konnte man sich darauf nicht. Wir versuchen die Frage zu beantworten, ob sich das geändert hat.

  2. Whatsapp auf PC und Tablet, Backup und Alternativen

    WhatsApp

    WhatsApp informiert sehr ausführlich über seine Dienste, doch manche Fragen bleiben offen – zum Teil mit Absicht. Wir beantworten die häufigsten Fragen, unter anderem zur Nutzung auf dem PC und Tablet, sowie zu Backups, Preisen und Alternativen.

  3. FAQs zur WhatsApp-Verschlüsselung

    FAQs zur WhatsApp-Verschlüsselung

    Die kürzlich eingeführte Ende-zu-Ende-Verschlüsselung des Messengers WhatsApp wirft viele Fragen auf. Wir beantworten die wichtigsten.

  1. Sternenexplosion: Amateur-Astronom beobachtet erstmals Beginn einer Supernova

    Astronomie: Amateur-Astronom beobachtet erstmals Beginn einer Supernova

    Der Argentinier Victor Buso widmet sich in seiner Freizeit der Astronomie: Nun ist es ihm offenbar als erstem Menschen überhaupt gelungen, die Anfänge einer Supernova abzulichten. Forscher erhoffen sich wichtige neue Erkenntnisse.

  2. Fritzbox 7583: Neuer AVM-Router für extraschnelles DSL

    MWC: Fritzbox 7583 für extraschnelles DSL

    Äußerlich gleich, innen flotter als der Vorgänger 7580: Die Fritzbox 7583 schafft an gebondeten G.fast-Anschlüssen maximal 3 GBit/s Downloadrate. Super Vectoring beherrscht sie aber auch.

  3. Klartext: Der Frosch, der Auto fährt

    Klartext

    Bei Comma.ai kann man sich an einem Open-Source-Projekt zum autonomen Fahren beteiligen. Das ist cool. Gründer George Hotz prahlt gern: "We are going to win autonomous cars." Das ist weniger cool. Ich verbreite etwas Ernüchterung

  4. Studie: IT-Freiberufler nagen nicht am Hungertuch

    Xing AG

    Selbständige werden häufig als Risikogruppe für Altersarmut dargestellt, was laut einer repräsentativen Allensbach-Studie zumindest für den IT-Bereich nicht zutrifft. Dort liege das frei verwertbare Monatsnetto-Einkommen für Freelancer bei fast 4700 Euro.

Anzeige