Ein Messenger der von mehreren Millionen Menschen benutzt wird, sorgt bei jeder kleinen Änderung für große Aufmerksamkeit: So auch geschehen bei der angeblichen WhatsApp Backdoor! Warum es keine WhatsApp Backdoor ist, sondern eine Designentscheidung, und wie man den “Angriff” aufdecken kann.
Der Dreh und Angelpunkt der angeblichen WhatsApp Backdoor ist die Kryptographie!
Der Verschlüsselung bei WhatsApp funktioniert dank zweier Schlüssel. Das ist auch der bequeme Weg, welcher sich “asymmetrische Verschlüsselung” schimpft. Dabei gibt es den geheimen Schlüssel, welcher sich auf dem (aktuellen) Gerät des Benutzers befindet – und den öffentlichen Schlüssel. Letzterer liegt auf den Servern von WhatsApp.
Wenn es das nun wäre – würde es wohl auch kein Problem geben. Aber Nutzer können offline sein – Nachrichten kann man ihnen trotzdem schreiben. Genau hier liegt der Hase im Pfeffer:
Wenn die Nachricht versendet wird – der Empfänger aber offline ist, wird versucht ihm die Nachricht später zuzustellen. In der Zeit, in welcher der Nutzer offline ist, kann es aber zu einem Wechsel der Schlüssel kommen – z.B. ausgelöst durch die Neuinstallation von WhatsApp. Die Nachricht wird dem Empfänger, sobald er wieder online kommt, erneut zugestellt. Diese Nachricht wurde aber mit den neu generierten Schlüsseln verschlüsselt. Bei einem Man-in-the-Middle Angriff hätte der Angreifer nun die entschlüsselte Nachricht auf dem Handy – aber auch nur die Nachricht. Gespräche aus der Vergangenheit bleiben sicher!
Wie kann ich die WhatsApp Backdoor schließen?
Die Backdoor, welche im Grunde keine ist – sondern eine Design Entscheidung bei der Software Entwicklung – lässt sich jedoch erkennen. Der Nutzer kann sich nämlich anzeigen lassen, wenn sich die Schlüssels des Chatpartners gegenüber ändert:
Ob der Benutzer diese Benachrichtigung ein- oder ausgeschaltet hat, davon weiß WhatsApp nichts. Beim ausnutzen der “Backdoor” würde WhatsApp also Gefahr laufen, sich selbst erwischen zu lassen. Erste Stimmen fordern nun den Guardian – welcher als erstes großes Blatt von einer Backdoor gesprochen hat – sich von diesem Vorwurf zu distanzieren.
Meine Meinung zur WhatsApp Backdoor!
Von WhatsApp bin ich selbst kein allzu großer Fan – benutzen tue ich es wie viele Millionen andere Menschen in Deutschland “weil es eben jeder hat”. Aktiv benutze ich aber auch Threema. Das Thema “Backdoor in WhatsApp” ruft aber viele Menschen auf den Plan.
Das komplexe Thema Verschlüsselung wird dabei auf ein minimum heruntergebrochen. Entscheidende Punkte, wann ein Schlüsselaustausch notwendig ist und für den Benutzer bequem im Hintergrund ablaufen kann, bleibt für viele User ein Buch mit Sieben Siegeln.
An der Stelle ergreife ich Partei für WhatsApp – die einfache, konsequente Verschlüsselung von Textnachrichten ist gut und sicher umgesetzt. Lässt man dem Nutzer die Möglichkeit zur Installation, Wartung und Pflege der Schlüssel, dann wird es nicht genutzt. Siehe PGP. In diesem Sinne – es ist eine Design Entscheidung – keine “Backdoor”, durch welche die vereinigten Staaten alle vergangenen und zukünftigen Gesprächsprotokolle mitlesen kann.
PS. WhatsApp macht auch einige Dinge richtig. So z.B. die Warnung vor kyrillischen Links direkt im Chat.
Weitere Informationen und Quellen
[1] WhatsApp vulnerability: Bug or Backdoor? (Tobi.rocks)
[2] There is no WhatsApp ‘backdoor’ (signal.org)
[3] Krypto-Experte: Keine Backdoor in WhatsApp (heise)
[4] Security researches call for Guardian to retract false Whatsapp ‘backdoor’ story (techcrunch)