Die Ende-zu-Ende-Verschlüsselung die WhatsApp seit einigen Monaten verwendet, wurde von c't überprüft um ihre Vertrauenswürdigkeit zu bewerten. Obwohl WhatsApp die richtige Technologie einsetzt ist sie dennoch wenig wirksam.
Die Ende-zu-Ende-Verschlüsselung ist eine Methode, bei der die Kommunikation vom Absender bis zum Empfänger durchgehend verschlüsselt wird. Dadurch wird verhindert; dass Dritte auf die Nachrichten zugreifen und sie lesen können. WhatsApp verwendet hierfür die Verschlüsselungsprotokolle Signal & Noise und erzielt dadurch eine hohe Sicherheitsstufe.
Allerdings stellte c't fest, dass bei der Nutzung der Ende-zu-Ende-Verschlüsselung in der Praxis einige Schwachstellen auftreten. Zum einen können Metadaten, also Informationen wie Zeitstempel und Absender-Empfänger-Verbindungen, immer noch von WhatsApp gespeichert und verwendet werden. Dadurch ist es möglich – Bewegungsprofile der Nutzer zu erstellen & Rückschlüsse auf die Kommunikation zu ziehen. Zwar werden die eigentlichen Nachrichten nicht von WhatsApp gespeichert freilich können die Metadaten bereits ausreichen um das Kommunikationsverhalten zu analysieren.
Zum anderen können die Ende-zu-Ende-Verschlüsselung und die Sicherheit der Kommunikation durch andere Faktoren beeinträchtigt werden. So besteht beispielsweise die Möglichkeit, dass bösartige Software auf dem Gerät installiert wird die den Inhalt der Nachrichten abfängt, bevor er verschlüsselt wird. Auch können Sicherheitslücken in der WhatsApp-Software ausgenutzt werden um Zugriff auf die verschlüsselte Kommunikation zu erlangen.
Diese Schwachstellen zeigen, dass die technische Umsetzung der Ende-zu-Ende-Verschlüsselung bei WhatsApp zwar gut ist jedoch keine ausreichende Sicherheit gewährleistet. Um eine wirklich vertrauenswürdige Kommunikation zu ermöglichen, sind zusätzliche Maßnahmen und Schutzvorkehrungen notwendig.
Es ist wichtig sich dieser Einschränkungen bewusst zu sein und im Zweifelsfall auf weitere Verschlüsselungsmethoden oder sichere Kommunikationsplattformen zurückzugreifen um die eigenen Daten bestmöglich zu schützen.
Wie Tests von heise Security im Rahmen des WhatsApp-Schwerpunkts in c't 11/15 ergaben, wird die vorbildliche TextSecure-Verschlüsselung tatsächlich eingesetzt ist im Alltag aber nur von begrenztem Nutzen. Vor allem » weil man sich nicht drauf verlassen kann « dass sie tatsächlich zum Einsatz kommt.
Das Team von heise Security untersuchte unter anderem die Verschlüsselung der Datenpakete des Messengers. Dabei konnte bestätigt werden, dass bei den testweise von Android-Smartphones verschickten Nachrichten wirklich die Ende-zu-Ende-Verschlüsselung von TextSecure angewendet wird. Nachrichten von, beziehungsweise an iPhones wurden hingegen ohne die Ende-zu-Ende-Verschlüsselung verschickt. Normale WhatsApp-Nutzer können den Unterschied nicht erkennen.
Bei den Tests von heise Security kamen der Packet-Sniffer Wireshark und der inoffizielle WhatsApp-Client yowsup zum Einsatz. Da der Quellcode des Open-Source-Projektes yowsup offen liegt, konnte das Tool mit einigen kleinen Änderungen zur Diagnose der Verschlüsselung genutzt werden.
Details zu der Untersuchung gibt es im Hintergrundartikel bei heise Security:
- Der WhatsApp-Verschlüsselung auf die Finger geschaut
Das Thema WhatsApp-Verschlüsselung ist ebenfalls Teil des WhatsApp-Schwerpunktes in der neuen Ausgabe 11/15 von c't:
- WhatsApp-Hacks: WhatsApp clever nutzen - unbekannte Funktionen, versteckte Daten, verbotene Schnittstellen
Kommentare