WhatsApp Sicherheitslücke ermöglicht heimlichen Gruppenbeitritt
News folgenSicherheitsforscher haben eine Schwachstelle bei dem beliebten Messenger-Dienst WhatsApp entdeckt. Dadurch könnten sich Unbefugte unbemerkt in eine Chatgruppe mogeln – zumindest theoretisch.
Deutsche Sicherheitsexperten haben einen Weg entdeckt, wie sich die Verschlüsselung von WhatsApp-Nachrichten zumindest in Gruppen-Chats aushebeln lässt. Hacker könnten die Schwachstelle ausnutzen, um einer Gruppe ohne Einladung beizutreten, um dann heimlich alle Nachrichten mitzulesen. Das setzt allerdings voraus, dass sich die Angreifer zuerst Zugriff auf einen der zentralen WhatsApp-Server verschaffen.
Experten der Ruhr-Universität Bochum haben den Bug entdeckt, der bis zu einem gewissen Grad auch andere verschlüsselte Messenger wie Threema und Signal betrifft. Besonders gravierend seien die Mängel aber bei WhatsApp.
Das Problem liegt in der Art, wie bei WhatsApp Einladungen zu Chat-Gruppen verschickt werden. Normalerweise kann nur der Administrator neue Nummern hinzufügen. Doch WhatsApp nutzt dafür keinen abgesicherten Authentifizierungsmechanismus. Mit einem Zugang zum WhatsApp-Server können solche Einladungen deshalb leicht gefälscht werden. So könnten Unbefugte eine oder mehrere Nummer in eine beliebige Gruppe schleusen.
Ein WhatsApp-Sprecher wies auf Nachfrage der „Wired“ jedoch darauf hin, dass der Neuzugang sofort auffallen würde. Jedes Mal, wenn ein neues Mitglied der Gruppe beitritt, wird nämlich allen Gruppenmitgliedern ein Hinweis angezeigt. Allerdings müssten die Gruppenmitglieder dann beim Administrator nachfragen, ob dieser User tatsächlich von ihm hinzugefügt wurde oder ob es sich um einen Eindringling handelt.
WhatsApp wies außerdem darauf hin, dass neue Mitglieder nur zukünftige Nachrichten mitlesen können. Vergangene Mitteilungen werden im Chatverlauf nicht angezeigt.
Nach Darstellung der Forscher könnten die Angreifer jedoch sogar direkt in die Unterhaltung eingreifen und Nachrichten manipulieren oder blockieren. So könnten sie ihren eigenen unerwünschten Beitritt für eine Weile verschleiern und Verwirrung stiften.
So könnte das Problem behoben werden
WhatsApp gehört zum Facebook-Konzern. In der Vergangenheit stand der Dienst immer wieder wegen mangelhaften Datenschutzes in der Kritik. Seit 2016 bietet WhatsApp eine Ende-zu-Ende-Verschlüsselung an. Die Verschlüsselung verliere jedoch ihren Sinn, wenn Gruppenunterhaltungen von Dritten infiltriert werden können, kritisieren die Forscher nun.
WhatsApp hat sich noch nicht dazu geäußert, wie es mit dem Fehler umgehen will. Nach Ansicht der Forscher könnte das Problem durch einen Authentifizierungsmechanismus behoben werden. Demnach müsste der Gruppen-Admin jede Einladung mit einem geheimen Schlüssel bestätigen. Der Bug-Fix würde aber wahrscheinlich auch die Direktlinks zerstören, über die neue Gruppenmitglieder eingeladen werden können. Diese Funktion sei sehr beliebt, teilte WhatsApp mit.
Die Konkurrenz hat hingegen schon reagiert. Threema habe bereits mit einem Update nachgebessert. Bei Signal sorge die Verwendung von Gruppen IDs für mehr Sicherheit. Die Angreifer müssten diese geheime Nummer bereits kennen, um eine Gruppenunterhaltung gezielt zu infiltrieren.
