<update 23.1> Dieser Bericht ist umstritten. Zahlreiche Security-Experten halten bei technosociology.org die Darstellung von The Guardian aus der Vorwoche für verantwortungslos.</update>
#fuckingfriday bei Facebook. Facebook liest bei WhatApp mit. Die angeblich sichere Ende-zu-Ende Verschlüsselung bei WhatApp ist nämlich unsicher. Die Sicherheitslücke im von Open Whisper Systems entwickelten Signal-Protokoll wurde von Tobias Boelter an der University of California in Berkeley entdeckt. Die Lücke wurde im April 2016 an Facebook gemeldet und befindet sich noch immer in WhatsApp [ theguardian.com ].
Serverseitig können Chats mit Nutzern, etwa wenn diese offline sind, zur neuerlichen Verschlüsselung mit einem neuen Schlüssel gezwungen werden. Diese Mitteilungen liegen dann unverschlüsselt offen und können – auch von staatlichen Stellen – auf den Servern von Facebook gelesen werden. Der Empfänger bekommt nichts mit von einer neuerlichen Verschlüsselung. Der Sender wird lediglich bei aktivierten Sicherheitswarnungen im Nutzerkonto über einen neuen Verschlüsselungs-Key informiert: Settings – Account – Security – Show Security Notifications. Diese Einstellung ist im Werks-Zustand ausgeschaltet.
Die Signal-App kommt ohne die Sicherheitslücke. Bei ihr scheitert die Zustellung, wenn der Sender einen neuen Schlüssel nutzt. Bei WhatsApp hingegen handelt es sich um expected behaviour, das seitens Facebook so gewünscht ist. Trotz vorgeblicher Sicherheit lassen sich damit komplette Konversationen von Zielpersonen bei Facebook mitschneiden.
http://j.mp/2iv6HaN
There is no WhatsApp ‚backdoor‘, stellt Open Whisper Systems klar.