WhatsApp hat sich seit dem Start im Jahr 2009 mächtig entwickelt: Mittlerweile werden über 17 Milliarden Nachrichten pro Tag (!) von mehr als 100 Millionen Nutzern über alle Plattformen hinweg versendet. Anders ausgedrückt: WhatsApp ist einer der beliebtesten Messengerdienste überhaupt. Daran scheinen auch schlechte Nachrichten und kritische Kommentare nichts ändern zu können. Im Januar wurde gegen WhatsApp in Kanada und den Niederlanden ermittelt, weil das Unternehmen die Adressbücher seiner Kunden nicht nur auslas, sondern auch auf unbestimmte Zeit (also für immer) speicherte – ohne das wirklich mitzuteilen.
Jetzt gerade gibt es zum Thema WhatsApp zwei Nachrichten. Eine gute: Die neue Android-Version ist raus, und endlich kann man auch die mit der App verknüpfte Rufnummer ändern; das hatten sich die Nutzer schon lange gewünscht. Und leider auch eine schlechte: Denn obwohl WhatsApp an der Sicherheit der Kommunikation gearbeitet hat, bleibt das System verwundbar. Beim Thema Datenschutz gibt es noch immer Lücken.
Verschlüsselung weiter schwach
Denn die Sicherheit der WhatsApp-Kommunikation an sich stand immer wieder unter kritischer Beobachtung: Teil der kanadischen und niederländischen Untersuchungen war auch der Verschlüsselungsmechanismus, den WhatsApp einsetzte. Denn die App setzte die IMEI, die fest vergebene Telefon-Seriennummer, und die MAC-Adresse als Schlüssel für die Verschlüsselung ein. Problematisch ist aber, dass die IMEI gelegentlich auch in Klartext versendet wird und die MAC-Adresse steckt ohnehin in jedem einzelnen Datenpaket, das das Smartphone verschickt, und kann so einfach ausgeschnüffelt werden.
Doch WhatApp versprach Anpassungen und eine verbesserte Verschlüsselung. Das wurde auch wirklich umgesetzt, die Schlüsselgenerierung durch IMEI und MAC gehört mittlerweile der Vergangenheit an. Doch auch die neue Technik ist lückenhaft, wie der niederländische Mathe- und Informatikstudent Thijs Alkemade auf seinem Blog beschreibt.
Sehr stark vereinfacht: Das neue Verfahren basiert auf einer Stromverschlüsselung – genau wie HTTPS, SSH und WPA -, aber es ist ein gefährlicher Fehler eingebaut. Denn aus- und eingehende Nachrichten werden mit dem gleichen Schlüssel kodiert. Das System funktioniert aber nur ausschließlich dann, wenn die Chiffre nicht zwei Mal verwendet wird – und genau das tut WhatsApp. Damit ist das System zwar ein ganzes Stück sicherer als vorher, aber noch immer verwundbar.
Warum selbst machen
Alkemades Vorschlag: WhatsApp sollte auf die Entwicklung einer eigenen Verschlüsselungstechnik (die sie offensichtlich nicht beherrschen) verzichten und lieber auf ein bewährtes und überprüftes System wie TLS setzen, das seit 15 Jahren eingesetzt und überarbeitet wird.
Denn: „Ihr solltet davon ausgehen, dass jeder, der bei WhatsApp-Verbindungen mithört, auch eure Nachrichten entschlüsseln kann. Ihr solltet alle eure früheren WhatsApp-Unterhaltungen als kompromittiert ansehen. Es gibt nichts, was ihr tun könnt, abgesehen davon, nicht mehr WhatsApp zu benutzen, bis es ein Update gibt.“
Und auch der Sophos-Blog Naked Security kommt zu diesem Schluss – verbunden mit einem Hinweis für Programmierer: „Versucht nicht, eure eigene Verschlüsselung zu entwickeln. Warum ein eckiges Rad entwickeln, wenn es ein bekanntes und erprobtes rundes gibt, das sich einfach rollen lässt?“
Es ist eine zweischneidige Sache: Immerhin reagiert WhatsApp auf Nutzerwünsche und baut neue Funktionen ein. Und sie kooperieren mit den Behörden, um Sicherheitslücken zu beseitigen. Doch gerade da hapert es anscheinend noch sehr, und die versprochenen Änderungen bieten trotzdem nicht den Schutz, der gegeben sein sollte bei einem Unternehmen, das die Kommunikation und die Daten von 100 Millionen Nutzern weltweit verwaltet. Sicherheitslücken gibt es immer, aber WhatsApp scheint groß darin zu sein, sich die Lücken selbst einzubauen, indem beispielsweise Grundsätze der Kryptographie ignoriert werden.
