Die Ruhr Universität Bochum wurde die Sicherheit der End zu End -Verschlüsselung der genannten Messenger-Dienste untersucht. Der ausführliche Bericht ist (leider) in englischer Sprache gehalten, dafür aber verständlich gehalten. Insbesondere WhatsApp schneidet schlecht ab, was sicher nicht dazu führen wird, dass die Deutschen Datenschutzfürst:innen ihre negative Einschätzung (“nicht datenschutz-kompatibel einsetzbar”) ändern werden.
Das Ergebnis wird in einer Pressemitteilung wie folgt zusammen gefasst:
Theoretisch könnten sich ungebetene Gäste in Chatgruppen einschleichen und alles mitlesen. Das ließe sich leicht verhindern.
Ein Forscherteam vom Bochumer Horst-Görtz-Institut für IT-Sicherheit konnte zeigen, dass sich theoretisch Unbefugte in WhatsApp-Gruppenchats einschleichen könnten, die nicht vom Administrator eingeladen wurden. Das führt die vor zwei Jahren von WhatsApp eingeführte Ende-zu-Ende-Verschlüsselung ad absurdum, die die privaten Nachrichten für Dritte unlesbar machen soll.
Die Sicherheitslücke veröffentlichten Prof. Dr. Jörg Schwenk, Dr. Christian Mainka und Paul Rösler vom RUB-Lehrstuhl für Netz- und Datensicherheit am 10. Januar 2018 auf der Real World Crypto Conference in Zürich.
Fremde können Gruppen infiltrieren
Der Messenger-Dienst WhatsApp erlaubt, mehrere Mitglieder zu einer Gruppe zusammenzuschließen, die dann eine gemeinsame Unterhaltung führen können. Unter den Mitgliedern gibt es Administratoren; nur diese Personen können neue Mitglieder in die Gruppe aufnehmen.
Mit der entlarvten Sicherheitslücke könnten auch Fremde über den WhatsApp-Server eine Gruppe infiltrieren und alle ab diesem Zeitpunkt verschickten Nachrichten in dem Chat mitlesen. Dazu müssten sie allerdings den WhatsApp-Server unter ihre Kontrolle bringen, was nur erfahrenen Angreifern gelingen dürfte – und WhatsApp-Mitarbeitern oder Regierungen, die die Betreiber gesetzlich verpflichten können, ihnen Zugang zu verschaffen. Ein Grund zur Panik besteht daher nicht. In ihrem Paper schlagen die Forscher auch gleich Möglichkeiten vor, die entsprechenden Sicherheitslücken zu schließen.
Auch andere Messenger-Dienste betroffen
Auf der Konferenz berichtete das RUB-Team auch über Sicherheitslücken in den Messenger-Diensten Signal und Threema. Allerdings seien diese nicht so weitreichend wie bei WhatsApp.
Wer es genau wissen will, hier der Link zu dem Untersuchungsergebnis.
