Wie WhatsApp-Nachrichten manipuliert werden können

Check Point zeigt, wie man Nachrichten fälscht und in Chats eingreift. Alles kein Problem, sagt WhatsApp.
 
Der aktuelle Wissenstand: WhatsApp verschlüsselt jede Nachricht, so dass nur der Empfänger sie sehen kann. Nicht einmal WhatsApp selbst hat Einsicht dank End-to-End-Verschlüsselung.
 
Laut einer Check-Point-Mitteilung ist das teilweise kalter Kaffee. Ein gewiefter User könne Nachrichten durchaus verändern. Er könnte auch eine bereits gesendete Antwort nachträglich verändern, so dass sie wie eine legitime Nachricht des Senders wirkt. Er könne auch einen User verkörpern, das Zitate-Feature manipulieren und in Gruppen-Chats eingreifen. Dazu müsse man nicht Gruppenmitglied sein.
 
Möglich sei konkret, so die Security-Firma, die "Versendung einer persönlichen Nachricht in einem Gruppenchat, die für den Empfänger wie eine Gruppennachricht an alle Mitglieder aussieht – jedoch nur für ihn sichtbar ist. Wenn diese Person auf die gefälschte Nachricht antwortet, ist seine Antwort aber für alle Gruppenmitglieder sichtbar."
 
In einem recht ausführlichen Bericht rapportiert Check Point, dass man die Manipulation geschafft hat und wie man vorgegangen ist.
 
Die Tür ist WhatsApp-Web
Am Anfang sei WhatsApp-Web gestanden. WhatsApp-Web generiert einen öffentlichen und privaten Schlüssel, der für die Verschlüsselung und Entschlüsselung verwendet wird. In der Phase, in welcher die Keys und dann ein QR-Code generiert werden, konnten die Forscher die nötigen Infos abgreifen.
 
Nachdem Details zur Verschlüsselung erst mal klar waren, wurde es den Forschern möglich, "über eine Extension des genutzten protobuf2-Protokolls die genannten Exploits auszuführen", so die Mitteilung.
 
Damit konnte die eigentliche Arbeit offenbar beginnen: "Durch die Entschlüsselung der WhatsApp-Kommunikation konnten wir alle Parameter sehen, die tatsächlich zwischen der mobilen Version von WhatsApp und der Web-Version gesendet werden. So konnten wir sie manipulieren und nach Sicherheitsproblemen suchen."
 
Check Point selbst hält die Lücke für erheblich und es sei eine "einfache Manipulation". Betroffen seien alle WhatsApp-User, ob via Web oder App, insbesondere in Gruppen-Chats.
 
WhatsApp: "Das ist keine Lücke"
WhatsApp wurde über die Erkenntnisse informiert und widerspricht den Forschern. Laut 'New York Times' gibt die Firma zu, dass jemand das Zitate-Feature manipulieren könne, aber dies sei keine Lücke: Alles funktioniere so, wie vorgesehen. Das Problem habe das Niveau eines manipulierten E-Mails und habe nichts mit der End-to-End-Verschlüsselung von WhatsApp zu tun.
 
WhatsApp habe diverse Massnahmen gegen die Verbreitung von Falschinformationen getroffen und sperre User-Konten, die versuchen, WhatsApp zu modifizieren. Ein Update gegen den Check-Point-Hack sei entsprechend nicht vorgesehen.
 
Gut zu wissen
Aktuell, da WhatsApp sich für Werbung und den Business-Gebrauch interessant machen will, kann die Firma diese Berichterstattung schlecht gebrauchen. Ganz zu schweigen davon, dass in letzter Zeit via WhatsApp verbreitete Falschmeldungen in Indien offenbar Lynchmorde provozieren.
 
Es scheint aber auch, als könnten Manipulationen von normalen Usern entdeckt werden: Bei Gruppen-Chats muss eine gefälschte Aussage schnell in die Debatte geworfen werden, sonst ist die Chance vertan. Aufmerksamen Moderatoren könnten diese auch auffallen.
 
Offen bleibt, inwiefern das Vertrauen in die Grundlagen von "digitalen Identitäten" rund um Verschlüsselungs-Keys und digitale Zertifikate, Privacy und Authentifizierung zwischen Menschen, Apps und Devices mit den neuen Erkenntnissen nach und nach untergraben wird.
 
Wer sich vertiefter weiterbilden will, der kann dies via obenstehenden Link tun. Details zum involvierten "WhatsApp Protocol Decryption Burp Tool" der Checkpoint-Forscher finden sich via Github. Und Wissenswertes zum protobuf2-Protokoll gibt's via Google-Developer-Infos. (mag)