Bild: Arno Burgi/dpa-Zentralbild/dpa
Was das bedeutet – und wie du die Angriffe erkennen kannst

Wer hat was auf WhatsApp geschrieben? Und wer hat es wirklich zu sehen bekommen? Das sollte eindeutig sein, ist es aber unter Umständen nicht. 

Sicherheitsforscher von Check Point haben eine Schwachstelle in WhatsApp entdeckt, die es möglich macht, insbesondere Gruppenchats auf verschiedene Arten zu manipulieren. Ob solche Manipulationen Folgen haben, hängt von den Mitgliedern der Gruppe ab. Check Point zufolge ist das Problem von "höchster Wichtigkeit".

Gelingt der Angriff, über den zuerst die "New York Times" berichtet hat, können die Täter die Zitierfunktion in Gruppenchats austricksen und damit Nachrichten von anderen scheinbar umschreiben.

(Bild: Screenshot / Check Point)

Ein Beispiel: Schreibt jemand "Ich habe mit der Sache nichts zu tun", könnte jemand mit der Check-Point-Methode eine Zitatantwort schicken, die nicht die originale Nachricht wiederholt, sondern so etwas wie "Ich gebe es zu, ich bin der Schuldige" beinhaltet. Die falsch zitierte Person muss dabei nicht einmal Mitglied der Gruppe sein.

Außerdem ist es möglich, Nachrichten zu versenden, die wie Gruppennachrichten aussehen, aber nur einen bestimmten Empfänger erreichen. 

Antwortet dieser auf die Nachricht, ist das aber wiederum für alle Gruppenmitglieder sichtbar.

Theoretisch ließen sich so insbesondere in Gruppenchats die Mitglieder gegeneinander aufhetzen oder verwirren. Für die "Yoga-Gruppe Prenzlauer Berg" mit acht Mitgliedern ist das wenig relevant, für große Gruppen mit bis zu 256 Teilnehmern in Ländern wie Indien, Myanmar oder Sri Lanka schon eher. Dort wird WhatsApp gezielt zur Aufstachelung und zur Verbreitung von Gerüchten benutzt, teils mit tödlichen Folgen.

Doch damit überhaupt funktionieren kann, was die Check-Point-Experten ausgetüftelt haben, müssen mehrere Voraussetzungen erfüllt sein. 

  • Die Wichtigste: Wer Antworten manipulieren will, muss ein regulärer Teilnehmer der Konversation sein – es ist nicht möglich, beliebige WhatsApp-Chats beliebiger Nutzer zu verändern. Das verhindert die Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass nur Sender und Empfänger eine Nachricht einsehen können. Diese Verschlüsselung wurde von Check Point nicht gebrochen.
  • Zweitens dürfen die Opfer nicht allzu genau hinschauen. In einem Beispiel von Check Point fragt der Angreifer sein Opfer per WhatsApp "Wie geht es dir?" und die Antwort lautet "Bestens". Nun kann der Angreifer mit einer Zitatantwort darauf reagieren und dabei das Zitat beliebig umschreiben. Statt "Bestens" könnte dort dann "Ganz schlimm, ich liege im Krankenhaus" stehen. Weiter oben im Chat bleibt aber "Bestens" stehen. 

Aufmerksame Leser eines Chatverlaufs würden das erkennen – und den Täter gleich mit. Erst in Gruppen mit sehr vielen aktiven Teilnehmern wird das schwierig.

Auf die gleiche Weise könnte man auch eine beliebige Zitatantwort von jemandem erstellen, der gar nicht Mitglied der Gruppe ist. Doch auch das könnte jemandem auffallen, der genug Überblick über eine Gruppe hat, zum Beispiel dem Administrator.

In privaten Chats ist es möglich, sich selbst Antworten zu schicken, die aussehen, als kämen sie vom Gesprächspartner. Auf diese Weise, schreiben die Check-Point-Forscher, könnte man belastendes Material über jemanden fabrizieren oder einen Vertragsabschluss simulieren. Sichtbar wäre das jedoch nur auf dem Gerät des Angreifers, nicht dem des Opfers. Eine Gegenprobe würde also zumindest Ungereimtheiten aufdecken.

Die letzte von Check Point demonstrierte Angriffsvariante – die vermeintliche Antwort an eine Gruppe, die tatsächlich aber nur ein einziges Gruppenmitglied bekommt – erfordert mehrere Schritte des Angreifers. Dauert das zu lange, hat vielleicht schon jemand anderes geantwortet und die Konversation weitergetrieben.

Check Point hat Schwächen in der Web-Version entdeckt.

WhatsApp-Sprecher Carl Woog teilte auf Anfrage mit: "Wir haben uns das sorgfältig angesehen und es ist das Äquivalent zur Verfälschung einer E-Mail, um den Eindruck zu erwecken, jemand hätte etwas geschrieben, das er aber nie wirklich geschrieben hat."

Das Unternehmen habe verschiedene Maßnahmen gegen die Verbreitung von Falschinformationen getroffen, heißt es, zudem sperre es Nutzerkonten, die versuchen, WhatsApp für die Verbreitung von Spam zu modifizieren. Ein Update, um den Check-Point-Hack zu verhindern, wird es nicht geben.

Technisch basieren die Angriffe alle auf einer Schwachstelle in der Kommunikation zwischen der Android-App von WhatsApp und der Desktopversion WhatsApp Web.

Es gab schon mehrere Schwachstellen:

Wer WhatsApp Web benutzen will, muss eine verschlüsselte Verbindung zur Smartphone-App aufbauen und kann erst danach Messenger-Nachrichten im Browser schreiben. Die werden dann aufs Smartphone geschickt und dort durch die mobile App an die Empfänger geleitet. Die Check-Point-Spezialisten haben diese Verbindung zwischen App und Desktop-Browser aber entschlüsselt. Das ermöglicht es ihnen, WhatsApp Web zu erweitern und sozusagen mit Sonderzugriffsrechten zu nutzen.

Sie sehen dann verschiedene Parameter, die zu jeder WhatsApp-Nachricht gehören, normalerweise aber nur im Hintergrund verarbeitet werden. Mit diesen Parametern wird der Text einer Nachricht festgelegt, die einmalige Identifikationsnummer jeder Nachricht, sowie Sender, Empfänger und Teilnehmer des Chats. Alle diese Felder lassen sich in der Erweiterung ändern. Ob die Opfer die mobile App oder WhatsApp Web benutzen, spielt dabei keine Rolle.

Es ist nicht das erste Mal, dass Sicherheitsforscher Schwächen in WhatsApp finden. Die Lücken auszunutzen, ist aber in der Regel schwierig und nur in sehr speziellen Situationen für einen Angreifer sinnvoll. Nutzer, die keinem besonderen Überwachungsrisiko ausgesetzt sind, profitieren weiterhin von der Ende-zu-Ende-Verschlüsselung des Messengers, die verhindert, dass Unbefugte eine Nachricht mitlesen können.

Dieser Artikel ist zuerst auf SPIEGEL ONLINE erschienen.


Today

Was tun, wenn mein Paket bei der Post verschwindet?
Wir haben bei der Post nachgefragt. Neun Fragen, neun Antworten

Jede Stunde wieder checkt man die Statusmeldung des Pakets. Ist es schon da? Hat die Nachbarin es angenommen? Ist es schon in der Postfiliale? Dann endlich die Freude: DER MITBEWOHNER HAT ES ANGENOMMEN. 

Aber was ist, wenn die Freunde ein Paket schicken und es einfach nicht im Briefkasten landet? Oder behauptet wird, es sei zugestellt worden - aber da ist nichts. Nicht beim Nachbarn, nicht in der Packstation, nicht beim Mitbewohner. Wohin verschwinden unsere verschwundenen Pakete?