WhatsApp zofft mit Check Point über Verschlüsselung

8. August 2019, 14:20
image

WhatsApp hat den Vorwurf der IT-Securityfirma Check Point zurückgewiesen, seit einem Jahr eine Lücke in der Verschlüsselung des Dienstes offenzulassen.

WhatsApp hat den Vorwurf der IT-Securityfirma Check Point zurückgewiesen, seit einem Jahr eine Lücke in der Verschlüsselung des Dienstes offenzulassen. "Wir haben das Thema vor einem Jahr sorgfältig geprüft und es ist falsch, zu unterstellen, dass es eine Schwachstelle in der Sicherheit von WhatsApp gibt", erklärte ein Sprecher von Whatsapp-Besitzer Facebook.
Sicherheitsforscher von Check Point hatten zuvor auf der Sicherheitskonferenz Black Hat beschrieben, wie Chatverläufe manipuliert werden könnten. Demnach haben sie zuerst die Verschlüsselung rekonstruiert - durch die Umkehrung des Algorithmus, der zur Entschlüsselung dient.
"Nach der Entschlüsselung der WhatsApp-Kommunikation stellten sie fest, dass im Nachrichten-Modul hierfür das 'protobuf2-Protokoll' verwendet wird. Die Konvertierung dieser protobuf2-Daten in Json gab freie Einsicht auf die gesendeten Parameter und gab den Forschern die Möglichkeit, diese zu manipulieren, um die IT-Sicherheit von WhatsApp zu untersuchen. Das Ergebnis der Forschung ist eine Burp Suit Extension," so Check Point.
Als Schwachstelle bezeichneten die Forscher, dass sie die Identität des Zitatgebers in einem Chat ändern konnten. Dabei musste diese Identität gar nicht Mitglied der Chatgruppe sein. Sie konnten Antworten editieren sowie eine PN an einen Chat-Teilnehmer senden, der eine öffentliche Antwort zu sein scheint.
Check Point betrachtet dies als drei unterschiedliche Schwachstellen. Letztere sei vor der Warnung von Check Point geschlossen worden, die andern offenbar aber nicht bemerkt.
WhatsApp konterte, das von Check Point beschriebene Szenario sei vergleichbar damit, wie man Antworten in einem E-Mail-Wechsel manipulieren könne. Dort könne man auch etwas vortäuschen, was ursprünglich nie geschrieben worden sei.
WhatsApp betrachtet das eingesetzte Verschlüsselungsprotokoll Signal (früher Axolotl-Protokoll) weiterhin als sicher. Seit 2016 verschlüsselt WhatsApp systemübergreifend mit dem für den Konkurrenz-Messenger Signal entwickelten Open-Source-Protokoll. Dieses bietet End-to-End-Verschlüsselung oder auch Perfect-Forward-Secrecy. Es gilt als gut erforscht.
WhatsApp aber ist 'Closed Source', was die Überprüfung dessen, was WhatsApp tut (oder nicht), nach Ansicht der Open-Source-Verfechter erschwert.
Laut Check Point "wurden alle genannten Sicherheitslücken behoben."
Facebook arbeitet gerade daran, WhatsApp, den Facebook-Messenger und die Nachrichten-Funktion von Instagram auf eine gemeinsame technische Infrastruktur zu bringen. Dabei versicherte Facebook-Chef Mark Zuckerberg, dass das Online-Netzwerk stärker auf End-to-End-Verschlüsselung setzen werde. (mag/Keystone-sda)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Whatsapp putzt sich für Unternehmen heraus

Whatsapp entwickelt seine API weiter und will es Unternehmen leichter machen, den Dienst zu nutzen.

publiziert am 20.5.2022
image

Ransomware-Bande Conti gibts nicht mehr

Die Bande griff die Universität Neuenburg oder den Storenbauer Griesser an. Aber zu früh freuen sollte man sich über den "Rücktritt" nicht, die Kriminellen haben noch ein Ass im Ärmel.

publiziert am 20.5.2022
image

Online-Ads: Nutzer-Daten werden Milliarden Mal pro Tag verarbeitet

Eigentlich weiss man es: Beim Besuch einer Website werden eine Menge Informationen verfolgt und geteilt. Ein Bericht verdeutlicht nun, wie häufig dies geschieht und stellt die Frage: Ist das legal?

publiziert am 20.5.2022