Der Messenger-Dienst WhatsApp wird von 35 Millionen Menschen in Deutschland genutzt. Weltweit sind es seit kurzem über eine Milliarde Nutzer. WhatsApp ist der meist verbreitetste Nachrichtendienst der Welt und mittlerweile auch richtig sicher. Die vor wenigen Wochen eingeführte Ende-zu-Ende-Verschlüsselung setzt diesem Sicherheitsstreben die Krone auf. Sie ist nach Meinung von Experten vorbildlich implementiert und nach heutigem Wissensstand nicht zu knacken. WhatsApp selbst kann nun unsere Nachrichten nicht mehr mitlesen.
Doch: Immer wieder höre ich von Menschen, die behaupten, „gehackt“ worden zu sein. Da ist vom Stalker die Rede, oder vom Ex, der Dinge weiß, die er nicht wissen kann und die nur in WhatsApp standen. Wenn WhatsApp aber so sicher ist … sind diese Leute dann alle paranoid? Oder gibt es doch eine Möglichkeit an die Daten heranzukommen?
Es gibt sie. Im Januar 2015 wurde die „WhatsApp Web“ Funktion für Android-User eingeführt (für iPhone im August 2015). Damit lässt sich WhatsApp komfortabel auch auf dem PC und nicht nur am Smartphone nutzen. Diese Funktion hatten sich Millionen Nutzer gewünscht. Trotzdem kennt nur etwa jeder Vierte „WhatsApp Web“. Jetzt ist es so, dass es bei WhatsApp keine User-Id und auch kein Passwort gibt. Die Aktivierung dieser Funktion ist trotzdem extrem komfortabel gestaltet ist. Als Beweis, dass man auf einem PC oder Tablet legitimiert ist, auf Chats zuzugreifen, genügt es, dass man sein WhatsApp auf dem Smartphone startet und mit einer dort integrierten Kamerafunktion einen Barcode auf einer Webseite abfotografiert. Das dauert keine fünf Sekunden.
Aber: Will ein „Böser“ Zugriff auf alle WhatsApp-Nachrichten einer Person bekommen, muss er nur das entsperrte Handy in die Finger bekommen und heimlich den Barcode scannen. Zugegeben, ich hätte gesagt, das geht nicht. Und wenn – dann ist das Opfer echt selbst schuld. Aber ich habe mich getäuscht. In einem Test für stern TV (hier das Video) habe ich 9 von 10 Handys innerhalb von einer Minute nur durch eine erfundene Story (Interview, Einstellungen überprüfen) entsperrt in die Hand bekommen. Und ich konnte bei diesen neun auch unbemerkt (!) den Barcode scannen, mit dem man Zugriff auf den (für mich fremden) WhatsApp-Account erhält. Es geht also doch – und zwar zu einfach.
Mir fehlt – und das ist meine einzige Kritik an dieser Funktion – eine Mitteilung, ein kleiner eingeblendeter Hinweis beim Starten von WhatsApp, dass noch ein weiteres Gerät mit meinem Account verbunden ist. Dann wüssten die Opfer, dass jemand mitliest und könnten reagieren. Das tut WhatsApp aber nicht und unterstützt indirekt Stalker und eifersüchtige Ehepartner dabei, andere Menschen auszuspähen.
Um zu erkennen, dass noch ein weiteres Gerät verbunden ist, muss man heute noch aktiv selbst über die Menüpunkte „Einstellungen“, dann „WhatsApp Web“ nachschauen, ob dem so ist. Das macht kaum einer. Schon gar nicht die Mehrzahl der WhatsApp-User, weil diese die Funktion gar nicht kennen. Und was mir im Test mit Fremden gelungen ist, ist für „Partner“, „Freunde“ oder „Bekannte“ noch viel, viel einfacher zu schaffen.
Dies ist kein Hack gegen die WhatsApp-Architektur. Dies ist lediglich das Ausnutzen einer menschlichen Schwäche – unterstützt durch einen fehlenden Hinweis. Es gibt auch keine (mir bekannte) technische Sicherheitslücke bei WhatsApp. WhatsApp ist sicher. Deine Daten auch – jedenfalls vielleicht. Schau besser mal nach.
Nachtrag: 20.Mai 2016
In den letzten Tagen erreichten mich einige Hinweise (Danke!), dass WhatsApp in der aktuellen beta-Version für Android tatsächlich einen Hinweis eingebaut hat, wenn noch eine WhatsApp Web-Session aktiv ist. Ob das mit dem Bericht bei stern TV zusammenhängt, lässt sich natürlich nicht sagen, aber völlig abwegig ist das zumindest nicht.
Bildnachweis: 1. (c) Tobias Schrödel – zur freien Verwendung unter Angabe und Verlinkung der Quelle // 2. Tweet von @the_pesc
Aus aktuellen Gründen wurde dieser Blogeintrag vorgezogen und erscheint schon am Freitag.
Wie ist das eigentlich mit der Ende-zu-Ende-Verschlüsselung bei WhatsApp Web? Bleibt die erhalten? Könnte hier WhatsApp nicht theoretisch mitlesen, weil vielleicht nur eine normale Transportverschlüsselung für die Verbindung vom Smartphone zum Browser verwendet wird?
Das ist tatsächlich unklar. Am besten hat das m.E. ein heise-Artikel beschrieben. Details findest Du hier: http://www.heise.de/security/artikel/Test-Hinter-den-Kulissen-der-WhatsApp-Verschluesselung-3165567.html