Sicher mit Einschränkungen WhatsApp-Verschlüsselung im ersten Härtetest
News folgenWhatsApp hat seine Chat-App unlängst auf allen mobilen Betriebssystem mit einer Ende-zu-Ende-Verschlüsselung ausgestattet. Mitlesen wird damit angeblich unmöglich. "Heise Security" hat getestet, ob die Schutzfunktion wirklich auf allen Geräten läuft.
Bereits im letzten Jahr hatte "Heise Security" die Verschlüsselung von WhatsApp getestet und gravierende Mängel gefunden. Das Ergebnis in diesem Jahr: WhatsApp liefert, was es verspricht. Die Kommunikation ist laut den Testern auf dem gesamten Weg zwischen Sender und Empfänger verschlüsselt. "Heise Security" ist es mit verschiedenen Methoden nicht gelungen, die Verschlüsselung auszuhebeln. So ließen sich einem Kontakt etwa keine falschen Sicherheitsschlüssel unterjubeln, ohne dass WhatsApp Alarm schlug.
Die Stärke der Verschlüsselung untersuchten die Tester allerdings nicht. Auch die Verschlüsselung der Browser-Version von WhatsApp konnten sie bisher nicht prüfen.
Im Test wurden Nachrichten zwischen Android-Smartphones, mehreren iPhones und einem Notebook mit WhatsApp-Web verschickt. Auf dem Computer liefen parallel diverse Tools mit denen die Experten die Dastenströme analysierten und versuchten, die Verschlüsselung zu knacken.
Die neueste Version der App ist Pflicht
Der Test von "Heise Security" zeigte, dass die Ende-zu-Ende-Verschlüsselung immer dann tadellos funktioniert, wenn die an einer Kommunikation beteiligten Geräte die neueste Version der App verwenden. Wenn ein Partner noch eine veraltete und damit nicht verschlüsselte Version einsetzt, läuft die Kommunikation allerdings im mitlesbaren Klartext ab.
Sobald WhatsApp zwischen zwei Geräten einmal verschlüsselt kommuniziert hat, ist zwischen diesen beiden Smartphones nur noch die verschlüsselte Kommunikation möglich. Dazu blendet die App auch einen entsprechenden Hinweis ein. Die Kommunikation zwischen den beiden Geräten lässt sich also durch einen Angreifer nicht mehr in den ungeschützten Modus zwingen.
Etwas Kritik bleibt bestehen
"Heise Security" kritisiert aber wie auch andere Medien zwei Punkte. Zum einen, dass WhatsApp keine Open-Source-Software ist. Der Anbieter könnte also in einer zukünftigen Version die Verschlüsselung selbst wieder aushebeln, ohne dass das durch einen offenen Quellcode nachvollziehbar wäre. Hier sollte man den Rechtsstreit zwischen Apple und dem FBI im Hinterkopf behalten.
Die Bundespolizei will den Hersteller zur Kooperation beim Knacken der iPhones von Kriminellen zwingen. Konkret verlangt das FBI eine Hintertür, mit der sich die Verschlüsselung aushebeln lässt. Ein letztinstanzliches Urteil steht noch aus.
Weiterhin bemängelt "Heise Security", dass WhatsApp die Metadaten der Konversationen sammelt. Diese zeigen zwar nicht den Inhalt der Gespräche an. Aber wer, wann mit wem und wie lange kommunizierte, bleibt sichtbar. Dieses Problem betrifft allerdings nicht WhatsApp, sondern gilt für alle Messenger-Apps.
