Warum WhatsApp trotz Verschlüsselung nicht sicher ist!

whatsapp-minWhatsapp wirbt damit gerade, die End-to-End Verschlüsselung zwischen Chats nun für alle Nutzer aktiviert zu haben. Dadurch sollen Inhalte zwischen zwei oder mehreren Nutzern ausgetauscht werden auch für Whatsapp selbst nicht mehr einsehbar sein. Allerdings werden alle Nachrichten weiterhin über Whatsapp Server gesendet und empfangen und es tun sich trotzdem zahlreiche Möglichkeiten zur Überwachung durch den Betreiber oder auch Geheimdienste auf.

Unsere Empfehlung ist daher weiterhin die App „Telegram.org“ die als OpenSource für jeden nachvollziehbar und damit auch sicher programmiert wurde. Oder auch der App: „Signal“ die ebenfalls OpenSource basierend und von führenden Persönlichkeiten empfohlen wurde.

Was ist bei Whatsapp nun trotzdem nicht sicher?

1. Manche Chats sind weiterhin unverschlüsselt

Obwohl es jetzt heißt, dass WhatsApp eine Ende-zu-Ende-Verschlüsselung hat, ist auch künftig nicht jeder Chat verschlüsselt. Die neue Verschlüsselung wird nur eingesetzt, wenn alle Chat-Teilnehmer die neueste Version der App nutzen. In diesem Fall zeigt ein Schloss-Symbol an, dass der Chat verschlüsselt ist.

Besonders trifft dies auch auf Gruppenchats zu, wenn einer noch nicht die neueste Version installiert hat, dann ist der gesamte Chat unverschlüsselt. Das gleiche wenn man einen unsicheren User hinzufügt, wird alles kommende unverschlüsselt ausgetauscht.

Dabei ist aber keinesfalls gewährleistet ist, dass nicht auch noch unbekannte Dritte ebenso über Ihren „Schlüssel“ die Nachrichten lesen können! Dies umzusetzen würde Whatsapp sehr einfach fallen und man kann davon ausgehen, dass dies im Anlassfall auch geschieht. (z.Bsp CIA oder NSA)

2. Die Metadaten sind weiterhin bekannt

Auch wenn nun selbst WhatsApp nicht mehr die Inhalte der Kommunikation mitlesen kann – wer wann mit wem kommuniziert, weiß der Dienst trotzdem. Diese Informationen könnte er nutzen und natürlich auch weitergeben. Es ist damit vielleicht nicht mehr einfach zu erkennen, dass Du dich mit Deiner Freundin verabredet hast, aber sehr wohl, dass Du mit Ihr kommuniziert hast. Bei der riesigen Anzahl an Daten die da über jeden zusammenkommen, lassen sich aber sehr wohl Deine Aktivitäten, Interessen oder Meinungen erahnen oder auch mathematisch auswerten.

So erfreulich der WhatsApp-Verschlüsselungs-Vorstoß grundsätzlich ist, sollte man nicht vergessen, dass es noch immer um eine Chat-App aus dem Hause Facebook geht, die mittlerweile wieder kostenlos und seit jeher werbefrei ist. Die Betreiber haben also sehr wohl ein Interesse an den Nutzerdaten.

Konkret liest WhatsApp die Nummern Ihrer Kontakte auf dem Telefon und fügt sie automatisch zur WhatsApp-Kontaktliste hinzu. Zudem müssen der App bei der Installation weitrechende Rechte auf dem Smartphone erteilt werden. Das dazu die eigenen Kontakte alle an Whatsapp übertragen werden, macht die Sache insgesamt weiterhin sehr einfach!

3. WhatsApp ist keine Open-Source-Software

Die Verschlüsselung, die WhatsApp nun einsetzt, gilt als sicher – sie stammt von Open Whisper Systems, der Firma, die auch die von NSA-Whistleblower Edward Snowden empfohlene Chat-App Signal verantwortet.

Anders als Signal ist WhatsApp aber keine Open-Source-Software. Das bedeutet: Nicht jeder kann den Code einsehen und darin etwa nach Hintertüren oder Kryptographie-Fehlern suchen. Ein Stück weit muss man also darauf vertrauen, dass WhatsApp und dessen Mutterkonzern Facebook die Verschlüsselung korrekt und ohne Ausnahmen anwenden und dass es keine Sicherheitslücken gibt, über die sie ausgehebelt werden könnte.

Ein wenig mehr Sicherheit könnten sogenannte Audits unabhängiger Sicherheitsforscher geben, bei denen Unternehmen den Forschern einen Einblick in den Quellcode gewähren. Bisher ist aber nicht bekannt, ob WhatsApp seine App so testen lassen will.

4. Es gibt weitere Wege, an die Nachrichten zu kommen

Dritte können eventuell abgefangene Nachrichten nun nicht mehr entschlüsseln. Das heißt aber nicht, dass es keine Möglichkeit mehr gibt, an die Inhalte zu kommen. Denn dafür gibt es viele Wege, von der unbedacht installierten Tastatur-App, die die eigenen Eingaben mitschneidet und weiterschickt, bis zum gedankenlos gemachten Screenshot, den man während eines Chats macht und auf seiner Speicherkarte speichert. So ein Sicherheits-Fauxpas kann einem selbst passieren, aber natürlich auch dem Chat-Partner, ohne dass man es bemerkt.

5. Eine Sonderfunktion die man manuell aktivieren muss

Die wohl größte Gefahr ist, dass der Chat-Partner gar nicht derjenige ist, für den man ihn hält – ein Problem, das in Gruppenchats noch größer ist. Es könnte sein, dass ein Handy gestohlen wurde oder dass ein Dritter in den Besitz der Sim-Karte – und damit an die mit WhatsApp verbundende Telefonnummer – des eigentlichen Gesprächpartners gekommen ist.
In Fällen wie diesen – oder dem, dass ein Chat-Partner ein neues Handy hat – setzt WhatsApp jetzt auf sogenannte Sicherheitsnummern, mit denen man verifizieren kann, dass am anderen Smartphone genau der sitzt, dem man schreiben will.

Diese Benachrichtigung muss man allerdings manuell in den „Einstellungen“ von Whatsapp, „Account“ und danach unter „Sicherheit“ aktivieren.


Erstellt am: 6. April 2016

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

Schreibe einen Kommentar