WhatsApp zofft mit Check Point über Verschlüsselung

WhatsApp hat den Vorwurf der IT-Securityfirma Check Point zurückgewiesen, seit einem Jahr eine Lücke in der Verschlüsselung des Dienstes offenzulassen. "Wir haben das Thema vor einem Jahr sorgfältig geprüft und es ist falsch, zu unterstellen, dass es eine Schwachstelle in der Sicherheit von WhatsApp gibt", erklärte ein Sprecher von Whatsapp-Besitzer Facebook.
 
Sicherheitsforscher von Check Point hatten zuvor auf der Sicherheitskonferenz Black Hat beschrieben, wie Chatverläufe manipuliert werden könnten. Demnach haben sie zuerst die Verschlüsselung rekonstruiert - durch die Umkehrung des Algorithmus, der zur Entschlüsselung dient.
 
"Nach der Entschlüsselung der WhatsApp-Kommunikation stellten sie fest, dass im Nachrichten-Modul hierfür das 'protobuf2-Protokoll' verwendet wird. Die Konvertierung dieser protobuf2-Daten in Json gab freie Einsicht auf die gesendeten Parameter und gab den Forschern die Möglichkeit, diese zu manipulieren, um die IT-Sicherheit von WhatsApp zu untersuchen. Das Ergebnis der Forschung ist eine Burp Suit Extension," so Check Point.
 
Als Schwachstelle bezeichneten die Forscher, dass sie die Identität des Zitatgebers in einem Chat ändern konnten. Dabei musste diese Identität gar nicht Mitglied der Chatgruppe sein. Sie konnten Antworten editieren sowie eine PN an einen Chat-Teilnehmer senden, der eine öffentliche Antwort zu sein scheint.
 
Check Point betrachtet dies als drei unterschiedliche Schwachstellen. Letztere sei vor der Warnung von Check Point geschlossen worden, die andern offenbar aber nicht bemerkt.
 
WhatsApp konterte, das von Check Point beschriebene Szenario sei vergleichbar damit, wie man Antworten in einem E-Mail-Wechsel manipulieren könne. Dort könne man auch etwas vortäuschen, was ursprünglich nie geschrieben worden sei.
 
WhatsApp betrachtet das eingesetzte Verschlüsselungsprotokoll Signal (früher Axolotl-Protokoll) weiterhin als sicher. Seit 2016 verschlüsselt WhatsApp systemübergreifend mit dem für den Konkurrenz-Messenger Signal entwickelten Open-Source-Protokoll. Dieses bietet End-to-End-Verschlüsselung oder auch Perfect-Forward-Secrecy. Es gilt als gut erforscht.
 
WhatsApp aber ist 'Closed Source', was die Überprüfung dessen, was WhatsApp tut (oder nicht), nach Ansicht der Open-Source-Verfechter erschwert.
 
Laut Check Point "wurden alle genannten Sicherheitslücken behoben."
 
Facebook arbeitet gerade daran, WhatsApp, den Facebook-Messenger und die Nachrichten-Funktion von Instagram auf eine gemeinsame technische Infrastruktur zu bringen. Dabei versicherte Facebook-Chef Mark Zuckerberg, dass das Online-Netzwerk stärker auf End-to-End-Verschlüsselung setzen werde. (mag/Keystone-sda)