WhatsApp durchleuchtet: Vorbildliche Verschlüsselung weitgehend nutzlos
Um die Frage zu beantworten wie vertrauenswürdig die von WhatsApp seit einigen Monaten eingesetzte Ende-zu-Ende-Verschlüsselung ist, hat c't sie unter die Lupe genommen: Zwar setzt WhatsApp die richtige Technik ein, viel nützt das aber trotzdem nicht.
- Fabian A. Scherschel
Seit einiger Zeit verschlüsselt WhatsApp die Nachrichten der Nutzer nicht nur im Transport, sondern bei zwei Android-Gesprächspartnern auch Ende-zu-Ende. Wie Tests von heise Security im Rahmen des WhatsApp-Schwerpunkts in c't 11/15 ergaben, wird die vorbildliche TextSecure-Verschlüsselung tatsächlich eingesetzt, ist im Alltag aber nur von begrenztem Nutzen. Vor allem, weil man sich nicht drauf verlassen kann, dass sie tatsächlich zum Einsatz kommt.
Das Team von heise Security untersuchte unter anderem die Verschlüsselung der Datenpakete des Messengers. Dabei konnte bestätigt werden, dass bei den testweise von Android-Smartphones verschickten Nachrichten wirklich die Ende-zu-Ende-Verschlüsselung von TextSecure angewendet wird. Nachrichten von, beziehungsweise an iPhones wurden hingegen ohne die Ende-zu-Ende-Verschlüsselung verschickt. Normale WhatsApp-Nutzer können den Unterschied nicht erkennen.
Bei den Tests von heise Security kamen der Packet-Sniffer Wireshark und der inoffizielle WhatsApp-Client yowsup zum Einsatz. Da der Quellcode des Open-Source-Projektes yowsup offen liegt, konnte das Tool mit einigen kleinen Änderungen zur Diagnose der Verschlüsselung genutzt werden.
Details zu der Untersuchung gibt es im Hintergrundartikel bei heise Security:
Das Thema WhatsApp-Verschlüsselung ist auch Teil des WhatsApp-Schwerpunktes in der neuen Ausgabe 11/15 von c't:
- WhatsApp-Hacks: WhatsApp clever nutzen - unbekannte Funktionen, versteckte Daten, verbotene Schnittstellen
Im April 2016 hat WhatsApp plattformübergreifend Ende-zu-Ende-Verschlüsselung eingeführt, die heise Security ebenfalls untersucht hat:
(fab)
