Hacker demonstriert: WhatsApp-Verschlüsselung unbrauchbar

Der niederländische Computer Science-Student Thijs Alkemade hat sich mit dem von WhatsApp genutzten Verschlüsselungsprotokoll auseinandergesetzt und mehrere grobe Patzer in der Architektur der Nachrichtenübertragung ausfindig gemacht.

So sendet WahtsApp, schon in den vergangenen Jahren regelmäßig unter Beschuss, seine inzwischen immerhin Teilverschlüsselten Nachrichten nicht mehr im Klartext durch das Internet, die eingesetzte Crypto-Technik ist jedoch so schwach, dass der Inhalt der ausgetauschten Kurznachrichten ohne weiteres freigelegt werden kann.

Laut Alkemade nutzen die WhatsApp-Macher den gleichen Schlüssel für eingehende und abgehende Nachrichten. Ein Versäumnis, das Angreifern gestattet den Datenverkehr gegeneinander zu rechnen und die übertragenen Inhalte logisch zu ermitteln.

[…] WhatsApp uses the same key for the incoming and the outgoing RC4 stream […] In other words: if we have two messages encrypted with the same RC4 key, we can cancel the key stream out!

In seinem Blog-Eintrag „Piercing Through WhatsApp’s Encryption“ hat Alkemade jetzt ein Python-Script veröffentlicht, das die Schwachstelle ausnutzt und demonstriert, wie sich die Inhalte eine WhatsApp-Konversation auslesen lassen.

Zwar kann das Script momentan nur in speziellen Test-Umgebungen genutzt werden, unterstreicht aber, dass die Nachrichten-Verschlüsselung des Kurznachrichtendienstes löchrig wie ein Stück Käse ist. Alkemades Fazit:

Es sollte davon ausgegangen werden, dass jeder der in der Lage ist eure WhatsApp-Verbindung mitzuschneiden, mit genügend Aufwand auch die übertragenen Nachrichten entschlüsseln kann. Nehmt einfach an, dass eure bislang verschickten WhatsApp-Nachrichten kompromittiert sind. WhatsApp-Nutzer selbst haben keine Möglichkeit diesen Missstand zu beheben […]