Hacker demonstriert: WhatsApp-Verschlüsselung unbrauchbar
Der niederländische Computer Science-Student Thijs Alkemade hat sich mit dem von WhatsApp genutzten Verschlüsselungsprotokoll auseinandergesetzt und mehrere grobe Patzer in der Architektur der Nachrichtenübertragung ausfindig gemacht.
So sendet WahtsApp, schon in den vergangenen Jahren regelmäßig unter Beschuss, seine inzwischen immerhin Teilverschlüsselten Nachrichten nicht mehr im Klartext durch das Internet, die eingesetzte Crypto-Technik ist jedoch so schwach, dass der Inhalt der ausgetauschten Kurznachrichten ohne weiteres freigelegt werden kann.
Laut Alkemade nutzen die WhatsApp-Macher den gleichen Schlüssel für eingehende und abgehende Nachrichten. Ein Versäumnis, das Angreifern gestattet den Datenverkehr gegeneinander zu rechnen und die übertragenen Inhalte logisch zu ermitteln.
[…] WhatsApp uses the same key for the incoming and the outgoing RC4 stream […] In other words: if we have two messages encrypted with the same RC4 key, we can cancel the key stream out!
In seinem Blog-Eintrag „Piercing Through WhatsApp’s Encryption“ hat Alkemade jetzt ein Python-Script veröffentlicht, das die Schwachstelle ausnutzt und demonstriert, wie sich die Inhalte eine WhatsApp-Konversation auslesen lassen.
Zwar kann das Script momentan nur in speziellen Test-Umgebungen genutzt werden, unterstreicht aber, dass die Nachrichten-Verschlüsselung des Kurznachrichtendienstes löchrig wie ein Stück Käse ist. Alkemades Fazit:
Es sollte davon ausgegangen werden, dass jeder der in der Lage ist eure WhatsApp-Verbindung mitzuschneiden, mit genügend Aufwand auch die übertragenen Nachrichten entschlüsseln kann. Nehmt einfach an, dass eure bislang verschickten WhatsApp-Nachrichten kompromittiert sind. WhatsApp-Nutzer selbst haben keine Möglichkeit diesen Missstand zu beheben […]
<3 pen testing
Liegt wohl dadran, dass alle US-Firmen die NSA Verschlüsselungsalgorythmen anwenden.
Da ich regelmäßig meine Konto und Kreditkarten Infromationen zu meinen „Freunden“ über Whats App schicke, bin ich echt geschockt !!
Trotzdem ist es schon unverschämt wie dilettantisch und gleichgültig die Macher dieses inzwischen multimillionenschweren Unternehmens mit der Sicherheit der Daten ihrer Melkkühe umgehen. Schließlich gibt es kein Argument GEGEN eine anständige Verschlüsselung, wie auch andere sie längst bieten. Das Geld dazu sollte schließlich auch da sein! So what?!?
Du arme, gemolkene Kuh. Angesichts des Reichtums der Entwickler, die eine App ohne Werbung anbieten, bin ich über die unverschämte Abzocke auch echt geschockt!
→ P.S. Soll die kommende WAapp nicht von Grund auf neu entwickelt worden sein, gerade wegen der Sicherheit? Wenn das stimmt – was sagt uns dieser Test nun, außer dass er etwas bestätigt, was längst bekannt ist?
Die App ist doch für iPhone User wie kostenlos?! Schon vergessen wieviel wir damals für SMS und MMS bezahlt haben. Damals waren wir noch Melkkühe der Telekom etc. , aber doch nicht mit WhatsApp.
Und es werden auch immer noch Portemonnaies und Kreditkartenetuis verkauft, die KEIN Vorhängeschloss haben ;-)
Whatsapp kostete 0,79€ und jetzt jährlich Geld.
Egal wieviel, wir haben dafür bezahlt!
Die sollen ihre scheiße auf die Reihe bekommen.
Selbst Schuld?!
*facepalm*
Lol
Sorry ist nicht böse gemeint, aber wie doof muss MAN sein um über whatsapp brisante Daten zu senden?
Es ist allgemein bekannt das whatsapp ein verdammtes datenleck ist.
Hol dir threema im AppStore. Hat eine Ende zu Ende Verschlüsselung mit 2048 Bit. Keine Möglichkeit für eine man in the middle attake.
Gruss aus München
M.E. gibt es für ein Unternehmen wie WhatsApp genau zwei Möglichkeiten.
Entweder man geht davon aus das seine Kunden nichts zu verbergen haben. Dann kann man komplett auf Verschlüsselung verzichten.
Oder man geht davon aus das man auch Kunden hat denen Privatsphäre wichtig ist. Dann sollte man bei der eingesetzten Verschlüsselung auf dem Stand der Technik sein. Ggf. muss man dafür Fachleute einstellen.
Was man bei WhatsApp über seine Kunden denkt weiß ich natürlich nicht….
Ich finde halt nervig bei privaten Bildern von diversen Flammen. Hab kein Bock dass die mal auf pr0gramm im
Netz landen
Threema
https://itunes.apple.com/ch/app/threema/id578665578?mt=8
… No more comment !
Benutzt leider so gut wie kein Mensch.
Zudem closed source. Demnach können die Entwickler predigen was sie wollen.
Keiner kann überprüfen, ob das tatsächlich so sicher ist, wie gesagt wird.
Versteh eh ned warum man Sicherheit möchte, aber solche Dinge dann nicht hinterfragt. Paradox.
Die Verschlüsselubg gegenüber beliebigen Personen kann man schon nachprüfen. Indem man versucht sie zu hacken.
Hat keinen Gruppenchat. Keine iOS7-Anpassung. Wurde die nicht schon eingestellt?
Nein, läuft und wird ständig aktualisiert
„WhatsApp-Nutzer selbst haben keine Möglichkeit diesen Missstand zu beheben“
öhm… VPN?
Wer ohne VPN Verbindung einen öffentluchen HotSpot nutzt ist eh nicht mehr zu helfen.
Zudem ist meiner Meinung nach die Verschlüsselung von WA ausreichend.
Und die meisten die hier gleich meckern werden, schreiben bestimmt boch ab und zu ganz normale SMS. Fragt da mal nach der Verschlüsselung ;-)
Du kannst über den Whatsup-Server einen Tunnel zu allen Empfängern deiner Nachrichten aufbauen? Respekt! Ich glaube du hast nicht verstanden worum es geht
doch habe ich, mir ist bewusst dass ich erstmal nur meine Seite schützen kann.
Aber solange WhatsApp weiter Android unterstützt ist in diese Richtung eine Verschlüsselung eh erstmal egal, wenn das Betriebssystem offen wie ein Scheunentor ist, bringt die beste WhatsApp Verschlüsselung nichts.
jap, du hast es wirklich nicht verstanden :)
Du kannst über den Whatsup-Server einen Tunnel zu allen Empfängern deiner Nachrichten aufbauen? Respekt! Ich glaube du hast nicht verstanden worum es geht
Onavo Protect VPN, ist dieser VPN Dienst auf dem iOS zu empfehlen? :)
Wobei auch natürlich jede/r Ü50 weiß, was überhaupt ein HotSpot oder VPN ist… ich denke doch, dass der prozentuale Anteil derer die sich da auskennen mit steigendem Alter erheblich sinkt. Unabhängig davon: Es kann einfach nicht sein, dass gerade der Marktführer nur wenig Motivation erkennen lässt, den viel kritisierten Missstand seines Produkts endlich zu beheben.
Und mit sinkenden Alter tritt Gleichgültigkeit ein…. Wo ist die Mitte?
Ha! Das erinnert mich an eine iMessage von vor ein paar Tagen.
Absender: Dad
Betreff: Was ist ein HotSpot??
:D
Na danke, man kann auch mit 51 noch Apple Server und Netzwerke administrieren….
VPN ist längst kompromittiert
Leider nicht Neues und schon in den ersten Kommentaren wieder einer der das ganze schön redet.
OH HA wusste nicht das Du hochbrisantes Material über Whats App sendest, die Nacktfotos meiner Freundin kann ruhig jeder sehn *lol*
Her damit ^^
vermutlich hast dann mit einer Strafe wegen Körperverletzung zu rechnen, weil der Anblick unerträglich ist…
dir ist bewusst dass du diesen Kommentar inkl. E-Mail Adresse gerade unverschlüsselt hier gepostet hast? ;-)
ach ja, gegen die Schönredner kommt man nie an. Das sind halt die, die es nicht verstehen wollen.
„ohne weitere“ ….
„ohne weiteres“ ….
Ach wie gefährlich lebten wir doch früher! Da haben Leute tatsächlich auf einer Postkarte, in Klarschrift, ohne Umschlag Nachrichten verschickt! Wer das alles lesen konnte! Deswegen hat unser Briefträger also oft gegrinst!
Leute Whatsapp IST eine Postkarte, kein Medium für schützenswerte Information!
früher haben Leute sogar über eine unverschlüsselte Telefonleitung telefoniert…
dass die Menschheit überhaupt noch exestiert ist ein reines Wunder… :-D
JEPP 100% wer Whats APP für was anderes nutz…. selber schuld
Der spezielle Unterschied ist, das FRÜHER jemand alle Postkarten hätte lesen MÜSSEN, um an Informationen zu gelangen, heute wird 1. alles automatisiert gescannt (vom Sinn des Inhalts) und 2. gespeichert, bis man es evtl. mal benötigt.
danke! so ist es
Habt ihr nicht vor ein paar Tagen über die demnächst kommende WA-Version berichtet? Darin stand doch
„Der Kurznachrichtendienst
WhatsApp steht kurz vor einem großen Update. Die nächste Version wird ein komplett neues Design einführen, ein komplett neues Sicherheitssystem implementieren,[…]“
Wahrscheinlich! Es kaum aus irgend einer quelle, wieso werden Gerüchte immer sofort als Fakt aufgegriffen? Und nicht mit etwas Skepsis betrachtet?
Ich frage mich schon, wo das Update bleibt :-(
unabhängig von der Diskussion zur Sicherheit von WA: Wer eine einfach zu bedienende, sichere Ende zu Ende Verschlüsselung für IPhone oder Android sucht, kann sich ja mal Threema ansehen. Die Nutzergemeinde ist sehr klein, aber die für mich wichtigen Kommunikationspartner verfügen mittlerweile auch über Threema-Clients (was Aufwand bei der Überzeugung bedeutete…). Für meine Zwecke funktioniert Threema nun hervorragend und es bleiben wenige Wünsche offen. Und ja, natürlich ist es anfänglich mit etwas Aufwand verbunden – was zählt ist für mich das Ergebnis und das stimmt.
Und dann kommt keine iOS7 Aktualisierung und ich benutze demnächst 100 Messenger für 200 Kontakte…
Aktualisierungen kommen schon, der einzige Haken bisher ist: Gruppenchat. Und ohne Gruppenchat wird man KEINEN Whatsapp User umstimmen können. Leider. Bequemlichkeit geht halt vor Sicherheit in der Masse.
Mein Gott das Thema kommt alle 6 Monate wieder hoch und trotzdem ist Whatsapp erfolgreich, woran liegt das wohl? Wahrschhnlich nicht an den Sicherheitsproblemen. Ausserdem was soll es, die gesicherten Dinge liegen doch auch bei der NSA. Sicherheit ist doch nur ein Webegag derer die uns was verkaufen wollen. Wer daran glaubt ist selber schuld.
Nein es liegt daran, daß jedes Kiddie alles für lau haben möchte. Insofern waren die Whatapp Macher ziemlich schlau und haben einen „Quasistandard“ geschaffen um ein gewisses Gewicht im Markt zu generieren. Mit Einführung eines günstigen Abomodells kann ihnen keiner mehr gefährlich werden und da Whatsapp Nutzer auf Grund des Userprofils eh eher den Intellekt einer Zwiebel haben, ist das Thema Sicherheit an der Stelle auch keines. Man muß sich ja nur mal die Dummbratzen ansehen die laut telefonierend durch die Öffentlichkeit laufen. Die können Privatsphäre noch nicht mal buchstabieren, geschweige denn einen Sinn dafür entwickeln, daß man gewisse Dinge nicht in die Öffentlichkeit trägt.
Angesichts der Tatsache, dass offensichtlich alle Cloud-Provider unsere Daten „freiwillig“ an die NSA übergeben kann ich nur milde lächeln. Im Gegensatz zu WhatsApp habe ich mit denen in der Vergangenheit schon eher sensible Informationen übermittelt, die ich nicht unbedingt Jedem zugänglich machen wollte.
Wenn ich mich auf der Straße unterhalte, wenn ich Briefe schreibe, wenn ich telefoniere… Da ist doch die Gefahr des Abhörens viel größer. Warum regt sich da keiner auf? Wen interessiert schon mein WA-Small Talk. Ich sehe schon die Schlagzeile vor mir: Gespräch zwischen Tante Lotte und Frau Müller über das gestrige Mittagessen gelangt an die Öffentlichkeit. Die Menschen sind empört über die viel zu kurze Garzeit des Brokolies.
:D
Und in der „Bild“ dann ein großes Foto vom Essen was über WA verschickt wurde… Ab sofort müssen Teller abgedeckt werden!
bin ich der einzige, dem auffällt, dass ifun eigentlich immer ganz vorne mit dabei ist, wenn es GEGEN WhatsApp geht ?
Wir wissen langsam, dass Ihr WhatsApp nicht mögt. Trotzdem nutzt es die breite Masse.
Sollen sie halt mitlesen, was ich schreibe, dann haben wenigstens viele was zu lachen.
Ich weiß gar nicht, warum sich hier manche so aufregen. Wer sein persönliches Sicherheitsbedürfnis durch WhatsApp nicht erfüllt sieht, soll doch einfach die App löschen und fertig…
Es geht doch nicht darum welcher Schwachsinn über WA ausgetauscht wird, sondern darum dass WhatsApp sagt jetzt ist WhatsApp sicher wir verschlüsseln.
Nichts ist SICHER, außer der TOT
Genau Peter hat’s erkannt ! Was ein Gejammer hier ….
Und die Steuer ;)
Nicht mal richtig schreiben ist sicher!
Bei Dir ist das auch nicht sicher! Denn es ist „DER TOD“, tot kann man nur sein, auch wenn man es groß schreibt…
Solange es keine Internetseite gib wo man einfach nur die Handynummer einträgt und dann alle Nachrichten lesen kann, ist es mir persönlich egal. Ich glaube das nur ein ganz kleiner Teil der Menschen weiß wie man an die Texte kommt. Und warum gerade ich von diesen vielen Millionen? Die Einfachheit und Bequemlichkeit und Vorteile überwiegen für mich.
Immer dieses „geknackt, gehackt…entschlüsselt“ bla, bla… oooh man. Sowas schockt doch höchstens noch meine Oma. Mal Ehrlich, ALLES was menschen VERschlüsseln, kann auch ein Mensch wieder ENTschlüsseln. man kann alles „hacken“. Seit Jahren werden im TV EC- und Kreditkartenhacks gezeigt. Ich mache Onlinebanking seit den 90ern (damals noch BTX) und mir ist noch nie ne Karte geknackt oder ein Konto leergeräumt worden. Ein Taschendiebstahl ist leichter als jedes Codeknacken ! Wenn jemand, jemandem etwas böses will so findet er IMMER einen Weg, insofern macht es wenig Sinn sich über die „knackbare“ Verschlüsselung eines Messagingsystems aufzuregen. Es ist ja nicht so als könne es JEDER lesen und knacken. nur „jeder“ der auch Ahnung hat, und da ja nicht „jeder“ ein Experte ist, bleibt die Menge derer die sowas können überschaubar. Nochmals ALLES kann irgendwie geknackt, kopiert oder manipuliert werden. Kreditkarten, Onlinebanking, Personalausweise (ich denke da mal an diese alten Lappen – sowas hab ich auch noch und das berechtigt zum Führen eines Fahrzeugs ! ;-) ) Es ist also schon etwas lächerlich sich immer wieder über diese Geschichten aufzuregen. Wer ein Sicherheitssystem umgehen will auf „Quellcode komm heraus“ der wird es schaffen !
(Y)
sic!
Tja das ist ja wieder typisch WhatsApp. Ich nutze immer iMessage, ist ist vieeeeeel sicherer, ist in iOS integriert, in Siri integriert, schöneres Design, man kann Orte, Kontakte, PDF Dateien, Fotos, Videos. Sprachmemeos, …. Versenden.
Und nützt dir außerhalb von iOS gar nichts.
Und sicher? Nun ja nur weil niemand darüber schreibt…
Ist es wirklich so schwierig jede Kommunikation mittels AES zu verschlüsseln und den notwendigen Schlüsselaustausch mittel eliptischer Kurven vorzunehmen?
Mach doch mal und ab damit an support@whatsapp.com. Kannst es ja gratis direkt dort machen. Aber auch mit der Verantwortung!
Nicht vergessen die Mail in palestinensisch-arabisch zu schreiben. Ich denke die Hacker dürften dann ja auch die Mailserver von Whatsapp gekapert haben…
Whatsapp hat mehrere hundert Millionen Nutzer, die jährlich 99Cent zahlen. Das sollte locker ausreichen, um ein paar gute und hochqualifizierte Programmierer sowie ein paar Kryptographie-Experten zu engagieren. Warum soll ich da meine Arbeitsleistung unbezahlt zur Verfügung stellen?
Mist! Habe gerade eine super-geheime Geheimbotschaft per WhatsApp verschickt – jetzt mache ich mir Sorgen, ob das richtig war….
Mal im Ernst: Das ist alles nichts Neues.
Und: Vielleicht wird das angekündigte Update auch hier etwas optimieren.
Wer was super-geheimes senden will, der nutzt halt WICKR oder nimmt ein Blatt Papier und stopft das in einen Einschreiben-Umschlag….
So einfach ist das…
jep, aber kein „Einwurf-Einschreiben“ denn sonst kann ja jeder was aus deinem Briefkasten klauen und es trotzdem lesen ;-) Übrigens Briefe kann man auch durchleuchten… ;-) Das so mancher Briefträger hin und wieder Geld entwendet, Briefe gelesen und jeden Klatsch und Tratsch mitbekommen hat (in der „guten alten Zeit“) ist belegt und kam auch immer wieder mal vor. Das, das „Fräulein vom Amt“ auch immer wieder mithören konnte, hat ja auch kaum jemanden gestört annodutzemal…. genau genommen ist demnach die Kommunikation per Email und Datenverschlüsselung immer noch sicherer als sie früher einmal war. Man überlege mal wie einfach man in den 80ern einen Akkustikkoppler abhören und die Daten mitschneiden konnte, da genügte ein Kassettenrecorder mit Mikro.
Das WhatsApp nicht sicher ist weiß doch mittlerweile jeder. Genau wie jeder weiß, dass iphone-ticker komplett anti-WhatsApp ist :)
Aber warum? :)
Selbst Schuld, wer diesen Drecksmist immer noch benutzt. Umsonst hibt es halt nur den Käse in der Mäusefalle. Wer Wert auf Sicherheit legt sollte am besten umsteigen auf Threema… aber selbst der Facebook Messenger ist schon sehr viel sicherer (nur halt nicht gegen US-Behörden und die NSA).
was ist den das bitte ist die Seite gehackt worden lol
http://www.whatsapp.com/
Hab gerade eine Speichermöglichkeit ohne Strom gefunden…..nennt sich Telefonbuch und die gute Brieftaube wieder rausgelassen….da kommt die NSA bei all meinen hochgeheimen Plänen nicht rann….
1. Ich frage mich wer von den „ist-doch-egal-wer-mitliest-vertretern“ mir, oder gar uns allen, seinen gesamten, unbereinigten Kommunikationsverlauf übermitteln würde. Die Rückschlüsse auf die Person, und evtl. darauf folgende Kommentare wären sicher interessant.
2. Das große Problem bei WhatsApp ist aber die ungefragte, und unkontrollierbare Weitergabe von Daten Dritter! Selbst im Bewusstsein einer öffentlichen Kommunikation, bleibt dies ein soziologisches Fehlverhalten der User. It’s by Design.
ist das nur bei mir so ?? http://www.whatsapp.com/ ist gehackt was ein zufall
Nein, ist es nicht. Es wurde nur der DNS Server manipuliert.
Was hier für ein Schwachsinn gepostet wird! Der Dienst hat ein massives Sicherheitsproblem und hier kommen wieder die „Ich hab nichts zu verbergen“-Idioten. Apple schafft es bei iMessage doch auch Ende-zu-Ende zu verschlüsseln und nicht gehackt zu werden.
Und ob ein Geheimdienst darauf zugreift oder ein pickliger Nerd ist schon ein gewaltiger Unterschied. Und letzterer kann bei WhatsApp relativ einfach zugreifen.
Und iMessage ist sicher ? Oder Siri ? Das glaubt niemand ernsthaft….
Whatsapp, der Messenger der Unterschicht.
Wir nutzen Threema. Das funktioniert bestens und ist sicher.
Amateuprogrammierer halt. Kein Wunder daß die sich bedeckt hielten – wenn männlich nicht richtig auskennt sagt man halt besser gar nix als was falsches, oder etwas das erkennen ließe daß es an der nötigen Kompetenz mangelt.
Interessant wäre in jedem Fall noch, etwas über die verwendete Serverlandschaft und -Architektur zu erfahren – was DA noch alles an Katastrophen schlummert, daran wage ich gar nicht zu denken.
Achtung Halbwissen: Whatsapp Inc. ist ein US Unternehmen, dass einen Kommunikationsdienst anbietet. Dieser ist zudem so beliebt, dass geschätzte 300-400 Mio Menschen weltweit ihn nutzen. US Unternehmen müssen(!) im Zuge des Patriot Acts Geheimdiensten Zugriffe auf ihre Systeme gewähren, um Kommunikation und Datenverkehr von Terrorverdächtigen abzuhören / auszuspähen und auszuwerten. Also im grunde genommen erstmal alles von allen. Eine starke End2End Verschlüsselung wäre also nicht im Sinne von Whatsapp und der US Regierung, wenn die Firma weiter existieren soll. Siehe auch Lavabit.
Whats App ist scheisse , iMessage Top , hab auch niemanden der kein iPhone hat , kommt immer auf den Freundeskreis an , Hartzer mit Android hab ich nicht, will ich auch nicht.
Oha, ein elitäres Kind. Zumindest eins mit elitären Attitüden. Ja, ich suche mir meine Freunde auch nach den Marken aus.
Gib dir die Kugel!
Für wie wichtig und interessant haltet ihr Pappnasen euch eigentlich. Denkt einfach mal zehn Sekunden nach ob ihr etwas wisst, was den Zeitaufwand eines „Hackers“ auch nur im geringsten rechtfertigen würde? Na?! Allen die das bejahen konnten, spreche ich hiemit meine Hochachtung aus. Den Rest heiße ich im Einheitsbrei willkommen. Ich weiß, der Gedanke das man selbst kein so großes Rädchen im Getriebe ist, wie man sein würde ist bisweilen unerträglich, da jeder wichtig sein will. Gewöhnt euch dran, euer Geschwätz auf Whats App interessiert keine S…u! Nichts für ungut. ;-)
Du sprichst mir aus dem Herzen.
…Du hast es auch nicht verstanden XD
Threema!
es gibt genügend Leute, die’s benutzen
obwohl ich es damals als einer der ersten Umsonst bekomen habe würde ich jederzeit 5€ ausgeben dafür ….
endlich schlucken sie mal die eigene Medizin http://t3n.de/news/whatsapp-ge.....kt-500485/