Wie gefährlich ist die neue Sicherheitslücke in WhatsApp?
Eine neue Sicherheitslücke in WhatsApp ermöglicht Angriffe auf die Nachrichten-Verschlüsselung und das Trennen der Handys vom WhatsApp-Netz. Wie gefährlich ist das?
Die Sicherheitsforscher Gabriel Gegenhuber und Maximilian Günther von der Universität Wien haben auf der Sicherheitsmesse Defcon eine neue Sicherheitslücke in WhatsApp präsentiert. Damit lässt sich die Verschlüsselung angreifen, und Hacker können gezielt Handys vom WhatsApp-Netz trennen.
Der Angriffspunkt der neuen Sicherheitslücke ist das sogenannte Perfect Forward Secrecy (PFS). Es sorgt dafür, dass es für jede einzelne Nachricht ein eigenes Paar von Verschlüsselungs-Keys gibt. Falls einmal die allgemeinen Keys für die Gespräche kompromittiert sind, soll PFS davor schützen, dass dann trotzdem neue Nachrichten nicht entschlüsselt werden können. WhatsApp-Nachrichten sind dreifach verschlüsselt: Einmal mit dem festen Identitäts-Schlüsselpaar, zusätzlich mit einem Pre-Key, der etwa monatlich getauscht wird und schließlich durch besagte Keys für einzelne Nachrichten. Zum Entschlüsseln braucht man alle drei Schlüssel.
Der Schlüsselaustausch passiert allerdings nicht immer direkt zwischen den Geräten, da die Nachrichten auch verschickt werden sollen, wenn ein Gerät offline ist. In solchen Fällen wird der Schlüssel auf dem WhatsApp-Server gespeichert und das Gerät erhält ihn, sobald es wieder online ist. Der Angriff funktioniert so, dass die Angreifer ständig neue PFS-Schlüssel anfordern. Dies sorgt irgendwann dafür, dass der Server nicht schnell genug neue Schlüssel liefert und die Extra-Verschlüsselung der einzelnen Nachrichten wegfällt. Zum Entschlüsseln sind dann aber trotzdem noch zwei andere Schlüssel nötig. Die Gefahr dadurch ist also eher gering.
Mit genau diesen Schlüsselanfragen lassen sich zudem gezielt fremde Telefone vom WhatsApp-Server trennen. Nämlich genau dann, wenn es mehr als 2.000 Anfragen pro Sekunde sind. Dann reagiert der Server auf alle weiteren Anfragen für die Nummer nicht mehr, was dazu führt, dass keine Nachrichten mehr erhalten oder geschickt werden können. Das ist zwar sehr nervig, allerdings bringt das Angreifern nicht viel. Daher dürfte auch hier die Gefahr eher gering sein. Zudem könnte Meta hier serverseitig das Problem recht einfach beheben, indem die Anfragen begrenzt werden.
Nebeneffekt der Schlüsselanforderungen ist ein Datenschutzproblem: Beispielsweise kann mit der Methode geprüft werden, ob das Zielgerät online ist. Macht man das über einen längeren Zeitraum, lässt sich zudem ermitteln, ob es sich bei den angegriffenen Konten um private oder Firmenaccounts handelt und wann die Besitzer in der Firma beziehungsweise zu Hause sind. Zudem ist es möglich, anhand der Antwortzeiten die Smartphone-Modelle zu erraten und aufgrund der Schlüsselnummern Rückschlüsse darauf zu ziehen, wie lange das Gerät schon in Benutzung und wie aktiv der Besitzer bei WhatsApp ist. Solche Informationen sind allerdings nur für sehr gezielte Überwachungen nützlich – wenn überhaupt. Eine allgemeine Gefahr geht auch davon nicht aus.
Die Forscher hatten die Angriffsmethoden bereits am 28. März 2025 an Meta gemeldet. Das Ticket wurde aber geschlossen und wohl fälschlicherweise einem anderen Problem zugeordnet. Möglicherweise reagiert Meta nun durch die zusätzliche Aufmerksamkeit.
Quelle: Computerbild
WhatsApp-Änderung: Verfügbare Kontakte direkt erkennbar
Wo bitte geht's zum nächsten Schutzraum? Warn-App bekommt Navi-Funktion
Weniger Ruckler im Netz: Vodafone startet „Latenz-Booster“
Früher als der Nachbar jubeln: Mit diesem Trick sehen Vodafone-Kunden Tore bei der WM 2026 als erstes
Große GigaTV-Umstellung: Vodafone tauscht alte TV-Receiver
Vodafone startet Google One
WhatsApp: Neues praktisches Feature für Gruppen-Chats
WhatsApp Plus startet: Diese Funktionen kosten ab jetzt Geld
Warten hat ein Ende: Großes Samsung-Update wird ab heute weltweit an Galaxy-Nutzer verteilt
Status-Widget interaktiv: WhatsApp überrascht mit Update
