Sicherheitslücke

Verlockend für Hacker: Lücke in WhatsApp Web gefunden

Wer WhatsApp über die Browserversion nutzt, sollte das nur in vertrauenswürdigen Netzwerken machen. Ansonsten können Hacker Zitate manipulieren und Fehlinformationen verbreiten.
Von

WhatsApp Web WhatsApp Web
Screenshot: WhatsApp
WhatsApp lässt sich auf mehreren Weisen nutzen: etwa mit der Smartphone-App, dem PC-Programm oder einem Browser. Letztgenannte Variante scheint jedoch die unsicherste zu sein, wie die Sicherheitsforscher Check Point erklären. Trotz der Ende-zu-Ende-Verschlüsselung des Web-Clients von WhatsApp können versierte Hacker unter gewissen Umständen Texte mitlesen und Zitate manipulieren. Das Forscherteam kontaktierte auch bereits das Entwicklerstudio, doch dieses erwiderte, dass sie die Sicherheitslücke nicht stopfen. WhatsApp Web sollte deshalb nur in vertrauenswürdigen Netzwerken ausgeführt werden.

WhatsApp: Browserversion ist einladend für Hacker

WhatsApp Web WhatsApp Web
Screenshot: WhatsApp
Kürzlich berichtete die New York Times über eine Untersuchung der Firma Check Point Software Technologies. Das renommierte Unternehmen ist vor allem für seine Firewall- und VPN-Lösungen bekannt. Check Point kennt sich also bestens mit dem Thema digitaler Sicherheit aus, zuletzt stellten sie den populären Messenger WhatsApp auf den Prüfstand. Aktuell soll das Kommunikationsprogramm rund 1,5 Milliarden Nutzer haben. Am sichersten sind die Anwender dabei, wenn sie die Smartphone-App verwenden. Oded Vanunu, Leiter der Schwachstellen-Forschung bei Check Point, führt die entdeckte Problematik des Web-Clients aus. Dem Team gelang es, bei der QR-Code-Verbindung von WhatsApp Web mit dem Handy kritische Daten auszulesen. Diese Informationen führten in Kombination mit einer Erweiterung für das WhatsApp-Protokoll protobuf2 dazu, dass sie den Chatverlauf verfolgen konnten. Eine solche Attacke sei vor allem dann erfolgreich, wenn der Angreifer Kontrolle über das genutzte Netzwerk hat.

Was können Hacker in WhatsApp Web anrichten?

Zitate von bereits gesendeten Nachrichten können von Hackern nach Wunsch abgeändert werden. Somit lassen sich falsche Informationen verbreiten. Der Name des Absender ist ebenfalls manipulierbar. Gruppenchats seien besonders problematisch, immerhin können sich dort bis zu 256 Teilnehmer aufhalten. Raffiniert: eine vermeintliche Gruppennachricht an alle Mitglieder, die aber nur den Empfänger erreicht. „Die Öffentlichkeit verlässt sich auf die Integrität der Mitteilung. WhatsApp muss überarbeitet werden, um diese einfache Manipulation zu verhindern.“, warnt Vanunu.

WhatsApp sieht keinen Handlungsbedarf

„Wir haben den Vorfall aufmerksam untersucht und es ist ein Äquivalent zum Abändern einer E-Mail“, erklärt Carl Woog, ein Sprecher von WhatsApp. Was Checkpoint entdeckt habe, hätte nichts mit der Sicherheit der Ende-zu-Ende-Verschlüsselung zu tun. Des Weiteren beteuert Woog, dass man das Thema Fehlinformationen sehr ernst nimmt. Es gebe Beschränkungen, wie weit man eine Mitteilung an verschiedene Gruppen weiterleiten kann. Außerdem weist er auf die Labels hin, die eine Nachricht als weitergeleitet kennzeichnen. „Das von Check Point genannte Problem hat nichts mit unseren Bemühungen diesbezüglich zu tun“, so der WhatsApp-Pressesprecher.

Mehr zum Thema WhatsApp