Forscher der Ruhr-Universität Bochum haben herausgefunden, dass Hacker Personen zu Gruppenchats auf WhatsApp hinzufügen können
Über die Jahre hat WhatsApp viel in die Sicherheit der Nutzerdaten investiert. Es wurde eine Zwei-Faktor-Authentifizierung eingeführt und eine Ende-zu-Ende-Verschlüsselung von Gesprächen dank Open Whisper Systems. Vor allem die letztgenannte Entscheidung hat die Privatsphäre verbessert und die Gespräche der Nutzer vor dem Eindringen von Hackern geschützt.
Der Schritt, eine Ende-zu-Ende-Verschlüsselung innerhalb der Anwendung einzuführen, wurde sowohl von Nutzern als auch von Branchenexperten begrüßt, die lange auf eine solche Entscheidung von WhatsApp gewartet haben. Die Verwendung einer Ende-zu-Ende-Verschlüsselung soll den Eindruck erwecken, dass die Daten der Nutzer sicher sind und dass niemand in ihre Gespräche eindringen kann. In Wirklichkeit ist dies jedoch nicht der Fall. Dies geht aus einer Untersuchung der Ruhr-Universität Bochum hervor, die eine Schwachstelle in den Servern von WhatsApp entdeckt hat, die die Sicherheit der Nutzerdaten gefährden würde. Die Schwachstelle betrifft nur Gruppenchats, nicht aber Einzelchats.
Was die Forscher herausgefunden haben
Die Studie wurde auf der Sicherheitskonferenz Real World Crypto vorgestellt und fand sofort großen Anklang. Die Untersuchung deckte Schwachstellen in drei Instant-Messaging-Anwendungen auf: WhatsApp, Signal und Threema. Während die in den beiden letztgenannten Apps gefundenen Probleme leicht zu beheben sind, könnte der WhatsApp-Fehler alle Gruppengespräche gefährden. Den Forschern zufolge kann jeder, der Zugriff auf die WhatsApp-Server hat, Personen zu Gruppenunterhaltungen hinzufügen, ohne die Administratoren um Zustimmung zu bitten. Aufgrund dieses Fehlers konnten Hacker unbemerkt in Chats eindringen und Nutzerdaten sammeln. Die Gefahr besteht laut den Forschern darin, dass Hacker in die WhatsApp-Server eindringen und Personen zu Gruppen hinzufügen könnten. Regierungen könnten auch Druck auf die Messaging-App ausüben, um Gruppengespräche während Volksaufständen zu kontrollieren.
Was Hacker tun können
Ein Login zu den Servern von WhatsApp würde es Hackern ermöglichen, absolute Kontrolle über Gruppengespräche zu haben. Wenn jemand zu einem Chat hinzugefügt wird, erscheint eine Nachricht innerhalb des Chats, die andere Benutzer benachrichtigt. Wenn der Benutzer von einem Hacker durch Manipulation auf Serverebene hinzugefügt wurde, könnte ein Gruppenadministrator andere Benutzer warnen, dass er niemanden hinzugefügt hat. Wenn die Gruppe jedoch sehr aktiv ist, kann in 99 % der Fälle die Nachricht, dass ein neuer Benutzer hinzugefügt wurde, übersehen werden. Durch die direkte Kontrolle der Server haben die Hacker auch noch andere Möglichkeiten. Sie können z. B. entscheiden, welche Nachrichten im Chat angezeigt werden sollen, und auch verschiedene Nachrichten an die Gruppenadministratoren senden.
WhatsApp in Alarmbereitschaft
Forscher der Ruhr-Universität sagten, sie hätten WhatsApp im Juli letzten Jahres gewarnt, aber die Mitarbeiter der Instant-Messaging-App hielten den Fehler nicht für wichtig genug, um die Geldprämie zu verdienen, die Facebook für jeden auslobt, der eine Schwachstelle in einer seiner Plattformen entdeckt. Einige WhatsApp-Mitarbeiter bestätigten das Problem gegenüber Wired, betonten aber, dass alle Nutzer über eine Nachricht benachrichtigt werden, wenn ein neues Mitglied zu einem Chat hinzugefügt wird. Und das würde die Daten der Nutzer sichern.
Wie man das Problem behebt
Nach Ansicht der Wissenschaftler könnte das Problem leicht gelöst werden, indem WhatsApp eine einfache Änderung vornimmt. Fügen Sie eine Art Zwei-Faktor-Authentifizierung hinzu, um einen Benutzer zu einer neuen Gruppe hinzuzufügen: einen Schlüssel, den nur der Gruppenadministrator besitzt. Wir werden sehen, ob WhatsApp den Rat der Forscher befolgt.