In den Mund gelegt: WhatsApp-Chats manipulierbar
WhatsApp steht immer wieder im Verdacht, nicht sicher zu sein. Forscher von Check Point haben nun auf Schwachstellen bei der Verschlüsselung des Facebook-Sprösslings hingewiesen.
Man stelle sich vor, jemand werde mit den Worten zitiert, der andere Teilnehmer der Chat-Gruppe sei ein Steuerbetrüger. Und dann stelle man sich vor, der vermeintliche Zitatgeber und die Nachricht sind frei erfunden. Am Ende würde aber doch der Verdacht des Steuerbetrugs bleiben.
So ähnlich könnte sich zutragen, was Sicherheitsforscher von Check Point Research herausgefunden haben, was die Verschlüsselung von WhatsApp-Chats betrifft. Auf der Black-Hat-Konferenz in Las Vegas haben sie laut security-insider.de drei Schwachstellen in der WhatsApp-Verschlüsselung publik gemacht.
Zuvor ist es ihnen nach eigenem Bekunden gelungen, die Verschlüsselung des Algorithmus zum Entschlüsseln von Datensätzen umzukehren. Dabei haben sie festgestellt, dass im Nachrichten-Modul für die Entschlüsselung ein protobuf2 genanntes Protokoll verwendet wird. Die Konvertierung der protobuf2-Daten in Json gab schließlich freie Einsicht auf die gesendeten Parameter und den Forschern die Möglichkeit, diese mittels einer Burp Suite Extension zu manipulieren. Die Burp Suite ist ein in Java geschriebenes grafisches Tool zum Testen der Sicherheit von Webanwendungen und „das Lieblingswerkzeug vieler Security-Consultants“, wie das linux-magazin.de es nennt.
In einem umfangreichen Blog-Beitrag haben die Sicherheitsforscher von Check Point im Zusammenhang mit WhatsApp-Chats auf folgende drei Manipulationsszenarien hingewiesen.
- Verwendung der Zitier-Funktion in einem Gruppengespräch, um die Identität des Zitatgebers zu ändern, selbst wenn die betreffende Person gar nicht Mitglied der Chat-Gruppe ist
- Ändern des Antworttextes von jemand anderem, insbesondere, indem ihm Wörter in den Mund gelegt werden, die er gar nicht gesagt oder geschrieben hat
- Senden einer privaten Message an ein anderes Gruppenmitglied unter dem Deckmäntelchen einer öffentlichen Nachricht, so dass die Antwort des Betroffenen für alle Teilnehmer der Gruppe sichtbar wird
Aus 500 mach 1500 $ mehr Lohn
Die Sicherheitsforscher haben in dem Blog auch ein Video gezeigt, um die jeweiligen Schwachstellen zu veranschaulichen. In dem Video fragt jemand als „Ich“ (der Angreifer) seinen Boss (das Opfer) per WhatsApp, wann man über seine Gehaltserhöhung spreche könne. Der antwortet, dass schon beschlossen sei, sein Gehalt um 500 Dollar aufzustocken.
Der sich „Ich“ nennende Mitarbeiter ändert nun mittels der Burp Suite die Antwort des Chefs derart, dass die Firma bereits einer Gehaltserhöhung um 1.500 Dollar zugestimmt habe. Darauf kommt dann im schlechten Englisch: „Thanks fpr the generous raise boss!“ Der ist nun der Gelackmeierte, weil er nicht mehr sicher sein kann, ob er 500 oder 1500 $ geschrieben hat.
Facebook wiegelt ab
Die WhatsApp-Mutter Facebook hat bei BBC in einem Interview zugegeben, dass sich die ersten beiden Schwachstellen aufgrund von infrastrukturellen Beschränkungen des Messaging-Dienstes nicht beheben ließen. Ein Jahr später folgte schließlich sogar eine offizielle Stellungnahme mit dem Hinweis, dass es falsch sei, von einer Schwachstelle in der Sicherheit von WhatsApp zu sprechen.
„Das hier beschriebene Szenario ist lediglich das mobile Äquivalent dessen, Antworten in einem E-Mail-Thread so zu ändern, dass er aussieht wie etwas, das eine Person gar nicht geschrieben hat“, heißt es da und weiter: „Wir müssen uns im Klaren sein, dass das Adressieren der Bedenken der Forscher WhatsApp weniger privat machen könnte – wie etwa das Speichern von Informationen über die Herkunft von Nachrichten.“
Verwandte Artikel
- secIT by Heise 2026: Die Security-Roadshow für Admins und IT-Verantwortliche
- DsiN-Jahreskongress 2026: Digitale Sicherheit in der vernetzten Gesellschaft
- Cybersec Europe 2026: Brüssels Security-Konferenz im Herzen der EU-Regulierung
Mehr aus dem MBF Media Netzwerk
- IT-Strategien für Entscheider auf digital-chiefs.de
- Mehr IT-Sicherheits-Trends auf mybusinessfuture.com
Quelle Titelbild: Unsplash / NordWood Themes
Fakt: Laut Allianz Risk Barometer 2025 sind Cyberangriffe das größte Geschäftsrisiko weltweit.
Fakt: Cyber-Versicherungsprämien stiegen laut Munich Re 2024 um durchschnittlich 15 Prozent.
Das Wichtigste in Kürze
- Dabei haben sie festgestellt, dass im Nachrichten-Modul für die Entschlüsselung ein protobuf2 genanntes Protokoll verwendet wird.
- Die Konvertierung der protobuf2-Daten in Json gab schließlich freie Einsicht auf die gesendeten Parameter und den Forschern die Möglichkeit, diese mittels einer Burp Suite Extension zu manipulieren.
- Verwendung der Zitier-Funktion in einem Gruppengespräch, um die Identität des Zitatgebers zu ändern, selbst wenn die betreffende Person gar nicht Mitglied der Chat-Gruppe ist Ändern des Antworttext…
- Der sich „Ich“ nennende Mitarbeiter ändert nun mittels der Burp Suite die Antwort des Chefs derart, dass die Firma bereits einer Gehaltserhöhung um 1.500 Dollar zugestimmt habe.
Key Facts
Lösegeldzahlungen: Nur 8 Prozent der zahlenden Unternehmen erhalten alle Daten vollständig zurück.
Angriffsvektor Nr. 1: 67 Prozent aller Ransomware-Infektionen beginnen mit einer Phishing-E-Mail.
Häufige Fragen
Was sind die häufigsten Cyberbedrohungen für Unternehmen?
Laut BSI-Lagebericht sind Ransomware, Phishing, DDoS-Angriffe und Supply-Chain-Kompromittierungen die häufigsten Bedrohungen. Für deutsche Unternehmen kommen regulatorische Risiken (DSGVO, NIS2) hinzu.
Wie viel sollte ein Unternehmen in Cybersicherheit investieren?
Branchenexperten empfehlen 10 bis 15 Prozent des IT-Budgets für Cybersicherheit. Deutsche Unternehmen liegen laut Bitkom im Durchschnitt bei 14 Prozent. Entscheidend ist nicht nur die Höhe, sondern die strategische Verteilung auf Prävention, Erkennung und Reaktion.
Braucht jedes Unternehmen einen CISO?
Nicht jedes Unternehmen braucht einen Vollzeit-CISO, aber jedes braucht eine klare Verantwortlichkeit für IT-Sicherheit auf Geschäftsführungsebene. KMU können auf einen externen CISO (Virtual CISO) zurückgreifen. Mit NIS2 wird die Management-Verantwortung gesetzlich verankert.
