Seit Ende letzten Jahres sind Nachrichten, die mit WhatsApp verschickt werden, angeblich vor Spionen sicher. Die Sicherheitsexperten von "heise Security" haben sich die so viel gelobte Verschlüsselungs -Technik in WhatsApp genauer angeschaut. Das Ergebnis ist allerdings ernüchternd.
Als WhatsApp im November 2014 bekannt gab, künftig die Verschlüsselungs-Technik des renommierten Krypto-Messengers TextSecure zu nutzen, dürften viele Nutzer erleichtert aufgeatmet haben. TextSecure gilt als zuverlässig und sicher. Bei ihrer Analyse stellten die Experten jedoch fest, dass WhatsApp schludert und nicht alle Nachrichten gründlich verschlüsselt.
WhatsApp-Sicherheit auf dem Prüfstand
Für den Test klinkte sich das Team von "heise Security" in den Datenstrom ein, der von einem Smartphone zum Internet-Server von WhatsApp läuft. Die von dem Smartphone ausgehende und vermeintlich verschlüsselte Nachricht schickten sie einem Desktop-PC, der einen WhatsApp-Empfänger simulierte. Auf das Innenleben von WhatsApp hatten die Experten leider keinen Zugriff, da der Programmcode nicht offenliegt.
So nutzen Sie WhatsApp auch auf dem PC
Aber auch ohne einen direkten Einblick in WhatsApp konnten die Forscher erhebliche Unstimmigkeiten ausmachen. So wurden Nachrichten, die zwischen zwei Android-Geräten ausgetauscht wurden, tatsächlich auf dem gesamten Weg gemäß dem TextSecure-Protokoll verschlüsselt (Ende-zu-Ende-Verschlüsselung). Wurden die Nachrichten jedoch von einem Apple-Gerät verschickt, kamen sie ohne den Schutz von TextSecure auf dem Zielgerät an.
Viele unangenehme Fragen
Wie "heise Security" einräumt, lässt der Versuchsaufbau ohne Einblick in den Programmcode eine Menge Fragen offen. So lasse sich etwa nicht feststellen, ob WhatsApp neben der verschlüsselten Nachricht zusätzlich eine Version ohne TextSecure-Schutz überträgt.
Zudem sei kein Verlass darauf, dass WhatsApp-Nachrichten immer von Ende-zu-Ende verschlüsselt werden. Auch könnte der Schutz in bestimmten Fällen vom Hersteller abgeschaltet werden. "Etwa auf Anfrage gewisser Dienste in bestimmten Ländern", schreiben die Experten und deuten damit eine eventuelle Hintertür für Geheimdienste wie die NSA an.
Ein Schalter für die Verschlüsselung?
Die Testergebnisse legen nahe, dass WhatsApp die Ende-zu-Ende-Verschlüsselung für unterschiedliche Gerätetypen an- und ausschalten kann. Dabei hat der Nutzer keine Möglichkeit, die Sicherungs-Funktion für seine Nachrichten zu überprüfen oder selbst zu aktivieren. Von WhatsApp fehle außerdem eine verbindliche Zusage zu einer konsequenten Verschlüsselung.
"Auch unsere Labor-Tests belegen lediglich, dass das prinzipiell schon geschieht. Genug, um sich drauf zu verlassen, ist das leider nicht", schließt "heise Security" seinen Forschungsbericht ab.
Weitere Digital-Themen finden Sie hier .
