RUB-Forscher entlarven Sicherheitslücke in Whats App Gruppen-Chats

Ein For­scher­team vom Bo­chu­mer Horst Görtz In­sti­tut für IT-Si­cher­heit konn­te zei­gen, dass sich theo­re­tisch Un­be­fug­te in Whats­app-Grup­pen­chats ein­schlei­chen könn­ten, die nicht vom Ad­mi­nis­tra­tor ein­ge­la­den wur­den. Das führt die vor zwei Jah­ren von Whats­app ein­ge­führ­te En­de-zu-En­de-Ver­schlüs­se­lung ad ab­sur­dum, die die pri­va­ten Nach­rich­ten für Drit­te un­les­bar ma­chen soll. Die Si­cher­heits­lü­cke ver­öf­fent­lich­ten Prof. Dr. Jörg Schwenk, Dr. Chris­ti­an Main­ka und Paul Rös­ler vom RUB-Lehr­stuhl für Netz- und Da­ten­si­cher­heit am 10. Ja­nu­ar 2018 auf der Real World Cryp­to Con­fe­rence in Zü­rich.

Frem­de kön­nen Grup­pen in­fil­trie­ren:

Der Mes­sen­ger-Dienst Whats­app er­laubt, meh­re­re Mit­glie­der zu einer Grup­pe zu­sam­men­zu­schlie­ßen, die dann eine ge­mein­sa­me Un­ter­hal­tung füh­ren kön­nen. Unter den Mit­glie­dern gibt es Ad­mi­nis­tra­to­ren; nur diese Per­so­nen kön­nen neue Mit­glie­der in die Grup­pe auf­neh­men.

Mit der ent­larv­ten Si­cher­heits­lü­cke könn­ten auch Frem­de über den Whats­app-Ser­ver eine Grup­pe in­fil­trie­ren und alle ab die­sem Zeit­punkt ver­schick­ten Nach­rich­ten in dem Chat mit­le­sen. Dazu müss­ten sie al­ler­dings den Whats­app-Ser­ver unter ihre Kon­trol­le brin­gen, was nur er­fah­re­nen An­grei­fern ge­lin­gen dürf­te – und Whats­app-Mit­ar­bei­tern oder Re­gie­run­gen, die die Be­trei­ber ge­setz­lich ver­pflich­ten kön­nen, ihnen Zu­gang zu ver­schaf­fen. Ein Grund zur Panik be­steht daher nicht. In ihrem Paper schla­gen die For­scher auch gleich Mög­lich­kei­ten vor, die ent­spre­chen­den Si­cher­heits­lü­cken zu schlie­ßen.

Auch an­de­re Mes­sen­ger-Diens­te be­trof­fen: Auf der Kon­fe­renz be­rich­te­te das RUB-Team auch über Si­cher­heits­lü­cken in den Mes­sen­ger-Diens­ten Si­gnal und Three­ma. Al­ler­dings seien diese nicht so weit­rei­chend wie bei Whats­app.

Um unsere Website für Sie optimal gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

Einverstanden