iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 549 Artikel
   

Hacker demonstriert: WhatsApp-Verschlüsselung unbrauchbar

Artikel auf Mastodon teilen.
98 Kommentare 98

Der niederländische Computer Science-Student Thijs Alkemade hat sich mit dem von WhatsApp genutzten Verschlüsselungsprotokoll auseinandergesetzt und mehrere grobe Patzer in der Architektur der Nachrichtenübertragung ausfindig gemacht.

whatsapp-1

So sendet WahtsApp, schon in den vergangenen Jahren regelmäßig unter Beschuss, seine inzwischen immerhin Teilverschlüsselten Nachrichten nicht mehr im Klartext durch das Internet, die eingesetzte Crypto-Technik ist jedoch so schwach, dass der Inhalt der ausgetauschten Kurznachrichten ohne weiteres freigelegt werden kann.

Laut Alkemade nutzen die WhatsApp-Macher den gleichen Schlüssel für eingehende und abgehende Nachrichten. Ein Versäumnis, das Angreifern gestattet den Datenverkehr gegeneinander zu rechnen und die übertragenen Inhalte logisch zu ermitteln.

[…] WhatsApp uses the same key for the incoming and the outgoing RC4 stream […] In other words: if we have two messages encrypted with the same RC4 key, we can cancel the key stream out!

In seinem Blog-Eintrag „Piercing Through WhatsApp’s Encryption“ hat Alkemade jetzt ein Python-Script veröffentlicht, das die Schwachstelle ausnutzt und demonstriert, wie sich die Inhalte eine WhatsApp-Konversation auslesen lassen.

Zwar kann das Script momentan nur in speziellen Test-Umgebungen genutzt werden, unterstreicht aber, dass die Nachrichten-Verschlüsselung des Kurznachrichtendienstes löchrig wie ein Stück Käse ist. Alkemades Fazit:

Es sollte davon ausgegangen werden, dass jeder der in der Lage ist eure WhatsApp-Verbindung mitzuschneiden, mit genügend Aufwand auch die übertragenen Nachrichten entschlüsseln kann. Nehmt einfach an, dass eure bislang verschickten WhatsApp-Nachrichten kompromittiert sind. WhatsApp-Nutzer selbst haben keine Möglichkeit diesen Missstand zu beheben […]

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
08. Okt 2013 um 09:23 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    98 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Da ich regelmäßig meine Konto und Kreditkarten Infromationen zu meinen „Freunden“ über Whats App schicke, bin ich echt geschockt !!

    • Trotzdem ist es schon unverschämt wie dilettantisch und gleichgültig die Macher dieses inzwischen multimillionenschweren Unternehmens mit der Sicherheit der Daten ihrer Melkkühe umgehen. Schließlich gibt es kein Argument GEGEN eine anständige Verschlüsselung, wie auch andere sie längst bieten. Das Geld dazu sollte schließlich auch da sein! So what?!?

      • Du arme, gemolkene Kuh. Angesichts des Reichtums der Entwickler, die eine App ohne Werbung anbieten, bin ich über die unverschämte Abzocke auch echt geschockt!
        → P.S. Soll die kommende WAapp nicht von Grund auf neu entwickelt worden sein, gerade wegen der Sicherheit? Wenn das stimmt – was sagt uns dieser Test nun, außer dass er etwas bestätigt, was längst bekannt ist?

      • Die App ist doch für iPhone User wie kostenlos?! Schon vergessen wieviel wir damals für SMS und MMS bezahlt haben. Damals waren wir noch Melkkühe der Telekom etc. , aber doch nicht mit WhatsApp.

      • Und es werden auch immer noch Portemonnaies und Kreditkartenetuis verkauft, die KEIN Vorhängeschloss haben ;-)

      • Whatsapp kostete 0,79€ und jetzt jährlich Geld.
        Egal wieviel, wir haben dafür bezahlt!
        Die sollen ihre scheiße auf die Reihe bekommen.

    • Sorry ist nicht böse gemeint, aber wie doof muss MAN sein um über whatsapp brisante Daten zu senden?
      Es ist allgemein bekannt das whatsapp ein verdammtes datenleck ist.
      Hol dir threema im AppStore. Hat eine Ende zu Ende Verschlüsselung mit 2048 Bit. Keine Möglichkeit für eine man in the middle attake.
      Gruss aus München

      • M.E. gibt es für ein Unternehmen wie WhatsApp genau zwei Möglichkeiten.

        Entweder man geht davon aus das seine Kunden nichts zu verbergen haben. Dann kann man komplett auf Verschlüsselung verzichten.

        Oder man geht davon aus das man auch Kunden hat denen Privatsphäre wichtig ist. Dann sollte man bei der eingesetzten Verschlüsselung auf dem Stand der Technik sein. Ggf. muss man dafür Fachleute einstellen.

        Was man bei WhatsApp über seine Kunden denkt weiß ich natürlich nicht….

    • Ich finde halt nervig bei privaten Bildern von diversen Flammen. Hab kein Bock dass die mal auf pr0gramm im
      Netz landen

  • „WhatsApp-Nutzer selbst haben keine Möglichkeit diesen Missstand zu beheben“

    öhm… VPN?

    Wer ohne VPN Verbindung einen öffentluchen HotSpot nutzt ist eh nicht mehr zu helfen.

    Zudem ist meiner Meinung nach die Verschlüsselung von WA ausreichend.

    Und die meisten die hier gleich meckern werden, schreiben bestimmt boch ab und zu ganz normale SMS. Fragt da mal nach der Verschlüsselung ;-)

  • Leider nicht Neues und schon in den ersten Kommentaren wieder einer der das ganze schön redet.

  • Ach wie gefährlich lebten wir doch früher! Da haben Leute tatsächlich auf einer Postkarte, in Klarschrift, ohne Umschlag Nachrichten verschickt! Wer das alles lesen konnte! Deswegen hat unser Briefträger also oft gegrinst!

    Leute Whatsapp IST eine Postkarte, kein Medium für schützenswerte Information!

  • Habt ihr nicht vor ein paar Tagen über die demnächst kommende WA-Version berichtet? Darin stand doch
    „Der Kurznachrichtendienst
    WhatsApp steht kurz vor einem großen Update. Die nächste Version wird ein komplett neues Design einführen, ein komplett neues Sicherheitssystem implementieren,[…]“

  • unabhängig von der Diskussion zur Sicherheit von WA: Wer eine einfach zu bedienende, sichere Ende zu Ende Verschlüsselung für IPhone oder Android sucht, kann sich ja mal Threema ansehen. Die Nutzergemeinde ist sehr klein, aber die für mich wichtigen Kommunikationspartner verfügen mittlerweile auch über Threema-Clients (was Aufwand bei der Überzeugung bedeutete…). Für meine Zwecke funktioniert Threema nun hervorragend und es bleiben wenige Wünsche offen. Und ja, natürlich ist es anfänglich mit etwas Aufwand verbunden – was zählt ist für mich das Ergebnis und das stimmt.

    • Und dann kommt keine iOS7 Aktualisierung und ich benutze demnächst 100 Messenger für 200 Kontakte…

      • Aktualisierungen kommen schon, der einzige Haken bisher ist: Gruppenchat. Und ohne Gruppenchat wird man KEINEN Whatsapp User umstimmen können. Leider. Bequemlichkeit geht halt vor Sicherheit in der Masse.

  • Mein Gott das Thema kommt alle 6 Monate wieder hoch und trotzdem ist Whatsapp erfolgreich, woran liegt das wohl? Wahrschhnlich nicht an den Sicherheitsproblemen. Ausserdem was soll es, die gesicherten Dinge liegen doch auch bei der NSA. Sicherheit ist doch nur ein Webegag derer die uns was verkaufen wollen. Wer daran glaubt ist selber schuld.

    • Nein es liegt daran, daß jedes Kiddie alles für lau haben möchte. Insofern waren die Whatapp Macher ziemlich schlau und haben einen „Quasistandard“ geschaffen um ein gewisses Gewicht im Markt zu generieren. Mit Einführung eines günstigen Abomodells kann ihnen keiner mehr gefährlich werden und da Whatsapp Nutzer auf Grund des Userprofils eh eher den Intellekt einer Zwiebel haben, ist das Thema Sicherheit an der Stelle auch keines. Man muß sich ja nur mal die Dummbratzen ansehen die laut telefonierend durch die Öffentlichkeit laufen. Die können Privatsphäre noch nicht mal buchstabieren, geschweige denn einen Sinn dafür entwickeln, daß man gewisse Dinge nicht in die Öffentlichkeit trägt.

  • Angesichts der Tatsache, dass offensichtlich alle Cloud-Provider unsere Daten „freiwillig“ an die NSA übergeben kann ich nur milde lächeln. Im Gegensatz zu WhatsApp habe ich mit denen in der Vergangenheit schon eher sensible Informationen übermittelt, die ich nicht unbedingt Jedem zugänglich machen wollte.

  • Wenn ich mich auf der Straße unterhalte, wenn ich Briefe schreibe, wenn ich telefoniere… Da ist doch die Gefahr des Abhörens viel größer. Warum regt sich da keiner auf? Wen interessiert schon mein WA-Small Talk. Ich sehe schon die Schlagzeile vor mir: Gespräch zwischen Tante Lotte und Frau Müller über das gestrige Mittagessen gelangt an die Öffentlichkeit. Die Menschen sind empört über die viel zu kurze Garzeit des Brokolies.
    :D

  • bin ich der einzige, dem auffällt, dass ifun eigentlich immer ganz vorne mit dabei ist, wenn es GEGEN WhatsApp geht ?

    Wir wissen langsam, dass Ihr WhatsApp nicht mögt. Trotzdem nutzt es die breite Masse.

    Sollen sie halt mitlesen, was ich schreibe, dann haben wenigstens viele was zu lachen.

  • Es geht doch nicht darum welcher Schwachsinn über WA ausgetauscht wird, sondern darum dass WhatsApp sagt jetzt ist WhatsApp sicher wir verschlüsseln.

  • Immer dieses „geknackt, gehackt…entschlüsselt“ bla, bla… oooh man. Sowas schockt doch höchstens noch meine Oma. Mal Ehrlich, ALLES was menschen VERschlüsseln, kann auch ein Mensch wieder ENTschlüsseln. man kann alles „hacken“. Seit Jahren werden im TV EC- und Kreditkartenhacks gezeigt. Ich mache Onlinebanking seit den 90ern (damals noch BTX) und mir ist noch nie ne Karte geknackt oder ein Konto leergeräumt worden. Ein Taschendiebstahl ist leichter als jedes Codeknacken ! Wenn jemand, jemandem etwas böses will so findet er IMMER einen Weg, insofern macht es wenig Sinn sich über die „knackbare“ Verschlüsselung eines Messagingsystems aufzuregen. Es ist ja nicht so als könne es JEDER lesen und knacken. nur „jeder“ der auch Ahnung hat, und da ja nicht „jeder“ ein Experte ist, bleibt die Menge derer die sowas können überschaubar. Nochmals ALLES kann irgendwie geknackt, kopiert oder manipuliert werden. Kreditkarten, Onlinebanking, Personalausweise (ich denke da mal an diese alten Lappen – sowas hab ich auch noch und das berechtigt zum Führen eines Fahrzeugs ! ;-) ) Es ist also schon etwas lächerlich sich immer wieder über diese Geschichten aufzuregen. Wer ein Sicherheitssystem umgehen will auf „Quellcode komm heraus“ der wird es schaffen !

  • Tja das ist ja wieder typisch WhatsApp. Ich nutze immer iMessage, ist ist vieeeeeel sicherer, ist in iOS integriert, in Siri integriert, schöneres Design, man kann Orte, Kontakte, PDF Dateien, Fotos, Videos. Sprachmemeos, …. Versenden.

  • Ist es wirklich so schwierig jede Kommunikation mittels AES zu verschlüsseln und den notwendigen Schlüsselaustausch mittel eliptischer Kurven vorzunehmen?

      • Nicht vergessen die Mail in palestinensisch-arabisch zu schreiben. Ich denke die Hacker dürften dann ja auch die Mailserver von Whatsapp gekapert haben…

      • Whatsapp hat mehrere hundert Millionen Nutzer, die jährlich 99Cent zahlen. Das sollte locker ausreichen, um ein paar gute und hochqualifizierte Programmierer sowie ein paar Kryptographie-Experten zu engagieren. Warum soll ich da meine Arbeitsleistung unbezahlt zur Verfügung stellen?

  • Mist! Habe gerade eine super-geheime Geheimbotschaft per WhatsApp verschickt – jetzt mache ich mir Sorgen, ob das richtig war….
    Mal im Ernst: Das ist alles nichts Neues.
    Und: Vielleicht wird das angekündigte Update auch hier etwas optimieren.
    Wer was super-geheimes senden will, der nutzt halt WICKR oder nimmt ein Blatt Papier und stopft das in einen Einschreiben-Umschlag….
    So einfach ist das…

    • jep, aber kein „Einwurf-Einschreiben“ denn sonst kann ja jeder was aus deinem Briefkasten klauen und es trotzdem lesen ;-) Übrigens Briefe kann man auch durchleuchten… ;-) Das so mancher Briefträger hin und wieder Geld entwendet, Briefe gelesen und jeden Klatsch und Tratsch mitbekommen hat (in der „guten alten Zeit“) ist belegt und kam auch immer wieder mal vor. Das, das „Fräulein vom Amt“ auch immer wieder mithören konnte, hat ja auch kaum jemanden gestört annodutzemal…. genau genommen ist demnach die Kommunikation per Email und Datenverschlüsselung immer noch sicherer als sie früher einmal war. Man überlege mal wie einfach man in den 80ern einen Akkustikkoppler abhören und die Daten mitschneiden konnte, da genügte ein Kassettenrecorder mit Mikro.

  • Das WhatsApp nicht sicher ist weiß doch mittlerweile jeder. Genau wie jeder weiß, dass iphone-ticker komplett anti-WhatsApp ist :)

  • Selbst Schuld, wer diesen Drecksmist immer noch benutzt. Umsonst hibt es halt nur den Käse in der Mäusefalle. Wer Wert auf Sicherheit legt sollte am besten umsteigen auf Threema… aber selbst der Facebook Messenger ist schon sehr viel sicherer (nur halt nicht gegen US-Behörden und die NSA).

  • Hab gerade eine Speichermöglichkeit ohne Strom gefunden…..nennt sich Telefonbuch und die gute Brieftaube wieder rausgelassen….da kommt die NSA bei all meinen hochgeheimen Plänen nicht rann….

  • 1. Ich frage mich wer von den „ist-doch-egal-wer-mitliest-vertretern“ mir, oder gar uns allen, seinen gesamten, unbereinigten Kommunikationsverlauf übermitteln würde. Die Rückschlüsse auf die Person, und evtl. darauf folgende Kommentare wären sicher interessant.
    2. Das große Problem bei WhatsApp ist aber die ungefragte, und unkontrollierbare Weitergabe von Daten Dritter! Selbst im Bewusstsein einer öffentlichen Kommunikation, bleibt dies ein soziologisches Fehlverhalten der User. It’s by Design.

  • Was hier für ein Schwachsinn gepostet wird! Der Dienst hat ein massives Sicherheitsproblem und hier kommen wieder die „Ich hab nichts zu verbergen“-Idioten. Apple schafft es bei iMessage doch auch Ende-zu-Ende zu verschlüsseln und nicht gehackt zu werden.
    Und ob ein Geheimdienst darauf zugreift oder ein pickliger Nerd ist schon ein gewaltiger Unterschied. Und letzterer kann bei WhatsApp relativ einfach zugreifen.

  • Wir nutzen Threema. Das funktioniert bestens und ist sicher.

  • Amateuprogrammierer halt. Kein Wunder daß die sich bedeckt hielten – wenn männlich nicht richtig auskennt sagt man halt besser gar nix als was falsches, oder etwas das erkennen ließe daß es an der nötigen Kompetenz mangelt.

    Interessant wäre in jedem Fall noch, etwas über die verwendete Serverlandschaft und -Architektur zu erfahren – was DA noch alles an Katastrophen schlummert, daran wage ich gar nicht zu denken.

    • Achtung Halbwissen: Whatsapp Inc. ist ein US Unternehmen, dass einen Kommunikationsdienst anbietet. Dieser ist zudem so beliebt, dass geschätzte 300-400 Mio Menschen weltweit ihn nutzen. US Unternehmen müssen(!) im Zuge des Patriot Acts Geheimdiensten Zugriffe auf ihre Systeme gewähren, um Kommunikation und Datenverkehr von Terrorverdächtigen abzuhören / auszuspähen und auszuwerten. Also im grunde genommen erstmal alles von allen. Eine starke End2End Verschlüsselung wäre also nicht im Sinne von Whatsapp und der US Regierung, wenn die Firma weiter existieren soll. Siehe auch Lavabit.

  • Whats App ist scheisse , iMessage Top , hab auch niemanden der kein iPhone hat , kommt immer auf den Freundeskreis an , Hartzer mit Android hab ich nicht, will ich auch nicht.

  • Für wie wichtig und interessant haltet ihr Pappnasen euch eigentlich. Denkt einfach mal zehn Sekunden nach ob ihr etwas wisst, was den Zeitaufwand eines „Hackers“ auch nur im geringsten rechtfertigen würde? Na?! Allen die das bejahen konnten, spreche ich hiemit meine Hochachtung aus. Den Rest heiße ich im Einheitsbrei willkommen. Ich weiß, der Gedanke das man selbst kein so großes Rädchen im Getriebe ist, wie man sein würde ist bisweilen unerträglich, da jeder wichtig sein will. Gewöhnt euch dran, euer Geschwätz auf Whats App interessiert keine S…u! Nichts für ungut. ;-)

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38549 Artikel in den vergangenen 6275 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven