Update: Leider basiert der nachfolgende Artikel auf den schlechten Recherchen des Guardians. In diesem Beitrag äußert sich der Open Whisper Systems Entwickler Marlinspike zur WhatsApp-Verschlüsselung und erklärt warum WhatsApp kein Hintertürchen enthält.
Datenschützer schlagen Alarm. Dem The Guardian zu folge können eigentlich verschlüsselte WhatsApp Nachrichten doch von Dritten gelesen werden. Ein kritisches Backdoor erlaubt es Facebook und anderen, zwischen die Verschlüsselung zu gehen und versendete Nachrichten mitzulesen. Schuld daran ist die Art und Weise wie WhatsApp die End-to-End-Verschlüsselung in seine App implementiert hat.
Datenschutz-Aktivisten sind der Auffassung, dass diese Sicherheitslücke eine große Bedrohung für die freie Meinungsäußerung ist. Erst vor wenigen Monaten hatte WhatsApp noch mit dem besonderen Schutz der Privatsphäre für seinen Messenger geworben.
Durch Hintertürchen erlischt der Schutz
Die End-to-End-Verschlüsselung von WhatsApp basiert auf einer neuen Generation von einzigartigen Sicherheitsschlüsseln, wie sie auch im Protokoll des Signal Messengers verwendet werden. Damit eine sichere Kommunikation stattfinden kann, kommt es zum Austausch der Sicherheitsschlüssel unter den Kommunizierenden. WhatsApp besitzt aber die Möglichkeit, neue Verschlüsselungsschlüssel für Offline-User zu generieren und diesen mit dem Rezipienten der Nachricht auszutauschen. Ohne dass der Sender Nachricht davon etwas mitbekommt, wird seine Nachricht noch einmal verschlüsselt und zum Empfänger geschickt. Das geschieht mit jeder noch nicht zugestellten Nachricht.
The Guardian kommt zu der Auffassung, dass dieses wiederholte Verschlüsseln und Übersenden es WhatsApp erlaubt, die Nachrichten der User abzugreifen und zu lesen.
Die Sicherheitslücke wurde von dem Kryptographen und Sicherheitsforscher Tobias Boelter entdeckt. Er forscht an der Universität Berkeley in Kalifornien. Er sagte dem The Guardian: "Wenn WhatsApp von einer Regierung nach der Offenlegung der Nachrichten-Datenbanken gefragt wird, kann das Unternehmen durch die Änderung des Verschlüsselungsschlüssels effektiven Zugriff darauf gewährleisten."
Das Hintertürchen ist dem The Guardian zufolge nicht an das Signal Sicherheitsprotokoll gebunden. Anders als WhatsApp leidet der von Edward Snowden empfohlene Messenger Signal nicht unter dieser Sicherheitslücke. Die fehlerhafte Implementierung in der WhatsApp Anwendung führt dazu, dass nicht zugestellte Nachrichten mit einem neuen Sicherheitsschlüssel gesendet werden, ohne den User von vornherein zu warnen. Er kann das Senden auch nicht verhindern. Bei Signal würde die Zustellung aufgrund der Änderung fehlschlagen und der User über die Änderung informiert werden.
Boelter informierte den Mutterkonzern Facebook bereits im April 2016 über die Sicherheitslücke. Allerdings war sich das Unternehmen der Lücke durchaus bewusst, ignorierte diese aber. Der The Guardian hat festgestellt, dass das Hintertürchen immer noch aktiv ist - WhatsApp also nicht als sicher angesehen werden kann.
Privatsphäre und WhatsApp passen nicht zusammen
Im Beitrag des The Guardian heißt es weiter, dass nicht nur einzelne Nachrichten, sondern auch ganze Konversationen abgefangen und gelesen werden können. Das stellt WhatsApp als angeblich sicheren Nachrichtendienst komplett in Frage. In Unterdrückung lebende Menschen, die WhatsApp zur geheimen Kommunikation nutzen, können nicht mehr auf diesen Dienst vertrauen. Die Professorin Kirstie Ball, Co-Direktorin und Gründerin von Centre for Research into Information meint: "Es ist eine riesige Bedrohung für die Meinungsfreiheit, wenn jemand in der Lage ist, Meinungen von anderen zu überwachen. Viele werden sagen, 'ich habe nichts zu verbergen', aber sie wissen nicht, welche Informationen gesucht und welche Verbindungen hergestellt werden."