Vergangene Woche berichteten wir über einen Artikel aus dem Guardian. Mittlerweile ist klar, dass das Guardian-Team nicht sauber recherchiert hat. Die britische Tageszeitung beschuldigte WhatsApp, ein Backdoor in ihre App implementiert zu haben, die es ermöglicht, verschlüsselte Kommunikationen mitzulesen. Dem ist nicht so.
Noch am selben Tag, als der Artikel des Guardian erschien, meldete sich Moxie Marlinspike, einer der Entwickler von Signal und Open Whisper Systems, und drückte seine Enttäuschung über den schlecht recherchierten Text aus. Bestürzt ist Marlinspike vor allem darüber, dass der Guardian nicht um eine Stellungnahme des Entwicklers bat. In einem ausführlichen Bericht versucht er Klarheit in das tatsächliche Verschlüsselungsverhalten der WhatsApp Anwendung zu bringen. Das ist auch notwendig, denn der Guardian-Artikel hat bereits seine Kreise gezogen.
Von der britischen Tageszeitung wurde die angebliche Sicherheitslücke als großes Problem für die Meinungsfreiheit dargestellt. Dieses Zitat einer Datenschützerin wurden mit Hilfe von Suggestivfragen herbeigeführt. Sie hatte allerdings auch keine andere Wahl bei Fragen a la „WhatsApp hat ein Backdoor in seine Verschlüsselung eingebaut, finden sie das schlecht?“
Das sagt Marlinspike zur WhatsApp Verschlüsselung
In einem technischen Whitepaper erklärt WhatsApp die verwendete Verschlüsselungsmethode bis ins Detail. Im wahren Leben kann sich der WhatsApp Sicherheitsschlüssel ändern. Das passiert beispielsweise dann, wenn jemand ein neues Gerät erwirbt oder einfach die WhatsApp App neu installiert. Der Öffentliche und private Schlüssel wird also gegen ein neues Paar ausgetauscht. Das ist allerdings die ganz normale Verhaltensweise asymmetrischer Kryptosysteme.
In den WhatsApp-Einstellungen kann der User entscheiden, ob er darüber informiert werden will, wenn sich der Sicherheitsschlüssel des Gegenübers geändert hat. Standardmäßig ist das nicht der Fall. Die Anwendung ist so gebaut, dass die WhatsApp-Server nicht darüber Bescheid wissen, ob sich die Sicherheitsnummer eines Users geändert hat. Da WhatsApp aber natürlich Zugriff auf seine Server hat, könnten sie einen Man-in-the-Middle Angriff durchführen. Das ist allerdings bei jeder Kommunikation über Server technisch gesehen möglich, insofern ein Zugriff auf den Server besteht.
In seinem Artikel erläutert Marlinspike außerdem die Tatsache, warum WhatsApp Konversationen nach einer Änderung des Sicherheitscodes nicht blockiert. WhatsApp zwingt die User absichtlich nicht dazu, die Sicherheitscodes manuell (neu) zu verifizieren. Er argumentiert mit der Größe des Netzwerks und der User-Unfreundlichkeit, die ein solches Handeln nach sich ziehen würde. Es ist auch schwer vorstellbar, sich jedes Mal mit der Person physisch zu treffen, um die Gültigkeit des Sicherheitscodes festzustellen. Der Open Whisper Systems Entwickler Marlinspike hofft nun darauf, dass sich der Guardian um das Revidieren seiner Aussage bemüht.