In den Mund gelegt: WhatsApp-Chats manipulierbar
WhatsApp steht immer wieder im Verdacht, nicht sicher zu sein. Forscher von Check Point haben nun auf Schwachstellen bei der Verschlüsselung des Facebook-Sprösslings hingewiesen.
Man stelle sich vor, jemand werde mit den Worten zitiert, der andere Teilnehmer der Chat-Gruppe sei ein Steuerbetrüger. Und dann stelle man sich vor, der vermeintliche Zitatgeber und die Nachricht sind frei erfunden. Am Ende würde aber doch der Verdacht des Steuerbetrugs bleiben.
So ähnlich könnte sich zutragen, was Sicherheitsforscher von Check Point Research herausgefunden haben, was die Verschlüsselung von WhatsApp-Chats betrifft. Auf der Black-Hat-Konferenz in Las Vegas haben sie laut security-insider.de drei Schwachstellen in der WhatsApp-Verschlüsselung publik gemacht.
Zuvor ist es ihnen nach eigenem Bekunden gelungen, die Verschlüsselung des Algorithmus zum Entschlüsseln von Datensätzen umzukehren. Dabei haben sie festgestellt, dass im Nachrichten-Modul für die Entschlüsselung ein protobuf2 genanntes Protokoll verwendet wird. Die Konvertierung der protobuf2-Daten in Json gab schließlich freie Einsicht auf die gesendeten Parameter und den Forschern die Möglichkeit, diese mittels einer Burp Suite Extension zu manipulieren. Die Burp Suite ist ein in Java geschriebenes grafisches Tool zum Testen der Sicherheit von Webanwendungen und „das Lieblingswerkzeug vieler Security-Consultants“, wie das linux-magazin.de es nennt.
In einem umfangreichen Blog-Beitrag haben die Sicherheitsforscher von Check Point im Zusammenhang mit WhatsApp-Chats auf folgende drei Manipulationsszenarien hingewiesen.
- Verwendung der Zitier-Funktion in einem Gruppengespräch, um die Identität des Zitatgebers zu ändern, selbst wenn die betreffende Person gar nicht Mitglied der Chat-Gruppe ist
- Ändern des Antworttextes von jemand anderem, insbesondere, indem ihm Wörter in den Mund gelegt werden, die er gar nicht gesagt oder geschrieben hat
- Senden einer privaten Message an ein anderes Gruppenmitglied unter dem Deckmäntelchen einer öffentlichen Nachricht, so dass die Antwort des Betroffenen für alle Teilnehmer der Gruppe sichtbar wird
Aus 500 mach 1500 $ mehr Lohn
Die Sicherheitsforscher haben in dem Blog auch ein Video gezeigt, um die jeweiligen Schwachstellen zu veranschaulichen. In dem Video fragt jemand als „Ich“ (der Angreifer) seinen Boss (das Opfer) per WhatsApp, wann man über seine Gehaltserhöhung spreche könne. Der antwortet, dass schon beschlossen sei, sein Gehalt um 500 Dollar aufzustocken.
Der sich „Ich“ nennende Mitarbeiter ändert nun mittels der Burp Suite die Antwort des Chefs derart, dass die Firma bereits einer Gehaltserhöhung um 1.500 Dollar zugestimmt habe. Darauf kommt dann im schlechten Englisch: „Thanks fpr the generous raise boss!“ Der ist nun der Gelackmeierte, weil er nicht mehr sicher sein kann, ob er 500 oder 1500 $ geschrieben hat.
Facebook wiegelt ab
Die WhatsApp-Mutter Facebook hat bei BBC in einem Interview zugegeben, dass sich die ersten beiden Schwachstellen aufgrund von infrastrukturellen Beschränkungen des Messaging-Dienstes nicht beheben ließen. Ein Jahr später folgte schließlich sogar eine offizielle Stellungnahme mit dem Hinweis, dass es falsch sei, von einer Schwachstelle in der Sicherheit von WhatsApp zu sprechen.
„Das hier beschriebene Szenario ist lediglich das mobile Äquivalent dessen, Antworten in einem E-Mail-Thread so zu ändern, dass er aussieht wie etwas, das eine Person gar nicht geschrieben hat“, heißt es da und weiter: „Wir müssen uns im Klaren sein, dass das Adressieren der Bedenken der Forscher WhatsApp weniger privat machen könnte – wie etwa das Speichern von Informationen über die Herkunft von Nachrichten.“
Quelle Titelbild: Unsplash / NordWood Themes
