WhatsApp steht auf Grund seiner Beliebtheit immer wieder im Fokus der Untersuchungen von Krypto-Experten. (Bild: dpa, Martin Gerten)

Ein Man-in-the-Middle, der sich in zwischen Smartphone und Browser einklinkt, kann den Web-Client des Messengers angreifen und Nachrichten manipulieren.

Trotz der Ende-zu-Ende-Verschlüsselung von WhatsApp kann ein Angreifer unter bestimmten Umständen Nachrichten manipulieren, wenn er sich in den sicheren Kommunikationskanal des Messengers einklinkt. Der Web-Client des Krypto-Messengers ist hier besonders angreifbar.

Sicherheitsforscher zeigen jetzt, wie so ein Angriff vonstatten gehen könnte. Es gelang ihnen, über eine Schwachstelle im Web-Client von WhatsApp Nachrichten falsch zu zitieren und Chat-Mitgliedern Nachrichten im Namen des Handy-Besitzers zu schicken. WhatsApp sieht die Lücke als nicht reparabel.

Man-in-the-Middle manipuliert Nachrichten

Um den von den Forschern der Sicherheitsfirma Check Point entdeckten Angriff umzusetzen, muss der Angreifer es schaffen, dass das Opfer sein Handy mit einem Browser koppelt. Er muss sich außerdem als Man-in-the-Middle in den Datenverkehr vom Browser zum Smartphone einklinken – am wahrscheinlichsten ist es, wenn er das Netzwerk kontrolliert, in dem sich das Opfer befindet.

Bei der Kopplung von Handy und Web-Browser per QR-Code gelingt es den Forschern demnach, ein Geheimnis auszulesen, das zwischen den beiden Endpunkten ausgetauscht wird. Im Zusammenhang mit einer Extension des von WhatsApp genutzen Protokolls protobuf2 können sie dann Daten mitlesen.

Den Forschern gelang es, Geheimnisse aus dem Traffic zwischen Browser und Smartphone auszulesen. (Bild: Check Point)

Daraus folgt, dass die Forscher unter bestimmten Bedingungen Nachrichten manipulieren können. So können sie etwa eine von dem Handy verschickte Nachricht falsch zitieren. In einem Gruppenchat muss die zitierte Person dafür kein Mitglied der Gruppe sein. Außerdem können sie eine Nachricht verschicken, die für den Empfänger wie eine Gruppennachricht an alle Mitglieder einer Gruppe aussieht – in Wirklichkeit ging die Nachricht aber nur an den Empfänger. Damit lässt sich allerhand Schabernack treiben. Auch Betrugsversuche werden so möglich.

Um es deutlich zu sagen: WhatApp sichert die Kommunikation zwischen zwei Smartphones mit Ende-zu-Ende-Verschlüsselung die auf der Höhe der Technik und nach aktuellem Wissensstand sicher ist.

Wird der Web-Client aktiviert und mit einem Smartphone gekoppelt, landen die Ende-zu-Ende-verschlüsselten Nachrichten nach wie vor auf dem Smartphone, werden aber von da an den Browser weitergereicht. Dieser Kanal ist vom Smartphone zum Browser ist ebenfalls verschlüsselt.

Grundsätzlich haben sowohl Browser als auch Smartphone das Problem, dass ein Angreifer, der das Endgerät kontrolliert, die entschlüsselten Daten mitlesen kann. Im aktuellen Fall zeigen die Forscher allerdings, dass ein Browser auf Grund seiner höheren Angriffsfläche auch mehr Möglichkeiten bietet, die Verschlüsselung zu umgehen.

WhatsApp will nicht reagieren

Laut Check Point habe man die WhatsApp-Macher im Vorfeld über die Erkenntnisse der Forscher informiert. Die Firma sieht in dem Problem allerdings keine Sicherheitslücke. Gegenüber der New York Times sagte ein Sprecher von WhatsApp, man könne die Manipulationen nicht verhindern, da man sonst jedes einzelne Zitat überprüfen müsse. Laut WhatsApp würde das die Infrastruktur des Dienstes überlasten.

Außerdem erzeugte solch eine Prüfung wiederum ein riesiges Problem für die Privatsphäre der Nutzer. "Wir haben uns das Problem genau angeschaut. Das ist das Äquivalent dessen, als würde man eine E-Mail manipulieren", so ein WhatsApp-Sprecher gegenüber der Times. Das Problem habe nichts mit der Ende-zu-Ende-Verschlüsselung zu tun.

WhatsApp-Nutzer, die auf Nummer Sicher gehen wollen, sollten vielleicht auf die Nutzung des Web-Clients verzichten. Verbindungen von Smartphone zu Smartphone sollten nicht betroffen sein. Unabhängig von der jetzt veröffentlichten Sicherheitslücke sollten Nutzer, denen es vor allem auf sichere Verschlüsselung ankommt, den Web-Client von WhatsApp nur in Netzwerken und auf Systemen verwenden, denen sie vertrauen. Wer den Web-Client gar nicht benutzt, verringert natürlich entsprechend seine Angriffsfläche. (fab)