In letzter Zeit wurde viel über eine neue Art der Ausnutzung gesprochen WhatsApp und die Ende-zu-Ende-Verschlüsselung, die das Unternehmen gerne erwähnt, umgehen, wann immer es möglich ist. Ich habe Tweets und Kommentare gesehen, die von „Es ist FUD“ bis hin zu Reden über eine von Facebook installierte Hintertür reichten.
Die gute Nachricht ist, dass es weder das eine noch das andere ist. Tatsächlich gehört es nicht wirklich zu den Dingen, über die man sich Sorgen machen muss, sondern vielmehr zu den Dingen, bei denen man sich fragt, wie es überhaupt passieren konnte, weil es ziemlich schlampig ist. Aber keine Sorge – das Problem wird behoben, lange bevor etwas passiert.
Was es ist
Forscher Paul Rösler, Christian Mainka und Jörg Schwenk von der Ruhr-Universität Bochum veröffentlichte eine Forschungsarbeit (.pdf-Link), der einen besonderen Fehler in der Gruppenchat-Verwaltung von WhatsApp entdeckte. WhatsApp bietet für Gruppenchats die gleiche Ende-zu-Ende-Verschlüsselung wie für Einzelchats, und das bedeutet normalerweise, dass wir dazu in der Lage sein sollten Fühlen Sie sich sicher in dem Wissen, dass die Dinge, die wir sagen, von niemandem gelesen werden, der es nicht lesen sollte, es sei denn, eines der Gruppenmitglieder lässt es zu passieren.
Anscheinend ist es theoretisch möglich, dass sich ein Fremder einem Gruppenchat auf WhatsApp hinzufügt. „Theoretisch“ und „möglich“ sind hier die Schlüsselwörter. Ich erkläre es.
WhatsApp bietet Gruppennachrichten mit starker Ende-zu-Ende-Verschlüsselung.
In einem WhatsApp-Gruppenchat sind ein oder mehrere der ursprünglichen Mitglieder Administratoren. Aus Sicht des Servers bedeutet das, dass diese Personen Personen zur Gruppe hinzufügen und daraus entfernen können. Bisher ist alles gut, auch wenn es so funktioniert: Ein Administrator sendet mit seinen Signaturschlüsseln ein Signal an jedes Mitglied der Gruppe und im Gegenzug sendet jedes Mitglied eine Antwort Wenn Sie eine Nachricht mit ihren Signaturschlüsseln senden, benachrichtigt der Absender der Nachricht jedes Mitglied darüber, dass es jetzt eine neue Person in der Gruppe gibt – das ist ein bisschen kompliziert, um einen guten Benutzer zu erstellen Schnittstelle. Wenn Sie kein Administrator sind, wissen Sie nur, dass Sie eine Meldung sehen, dass Jerry jetzt Mitglied der Gruppe ist. Sie können dies entweder akzeptieren oder den Chat verlassen.
Ein ähnlicher Fehler wurde beim Gruppen-Messaging über Signal festgestellt.
Das Problem besteht darin, dass WhatsApp diese Gruppenverwaltungsanfragen auf seinen eigenen Servern nicht ordnungsgemäß authentifiziert. Ein WhatsApp-Server muss den Absender einer Nachricht, die eine Person zu einem Gruppenchat hinzufügt, ordnungsgemäß identifizieren. Die Person sendet eine Nachricht, die sowohl die Gruppe als auch das Mitglied identifiziert, das sie hinzufügen möchte, und der Server prüft, ob es sich bei der Person, die die Nachricht gesendet hat, tatsächlich um einen Chat-Administrator handelt. Diese Nachrichten sind nicht Ende-zu-Ende-verschlüsselt und verwenden stattdessen die Standard-Transportverschlüsselung – die Nachricht, die von einem Chat-Administrator kommt und an einen Server geht, der anfordert, dass ein Benutzer zu einem hinzugefügt wird Chat ist nicht vom Absender mit seinem Verschlüsselungsschlüssel signiert.
Das bedeutet, dass ein WhatsApp-Server jederzeit jeden gewünschten Benutzer zu jeder Gruppe hinzufügen kann. Der Server kann, nicht ein anderer Benutzer. Das ist wichtig und bedeutet, dass die in einem WhatsApp-Gruppenchat erwartete Privatsphäre ausschließlich vom Vertrauen des WhatsApp-Chatservers abhängt. Dies macht den gesamten Zweck der Ende-zu-Ende-Verschlüsselung zunichte, die darauf ausgelegt ist, die Privatsphäre auch dann zu gewährleisten, wenn ein Server kompromittiert wird, da nur der Absender und der Empfänger eine Nachricht entschlüsseln können.
Und dann verliert das Internet seinen kollektiven Verstand, denn darin ist das Internet wirklich gut.
Das wird nicht passieren, muss aber trotzdem behoben werden
Dieser Fehler kann nur von jemandem ausgenutzt werden, der Zugriff auf den Server hat. Das bedeutet, dass ein Server kompromittiert wird, ein Mitarbeiter untreu wird oder eine aus drei Buchstaben bestehende Regierungsbehörde einen Haftbefehl einreicht. Jedes dieser Dinge könnte passieren, könnte in der Vergangenheit passiert sein und könnte sogar jetzt passieren. Aber noch etwas muss beachtet werden: Sie werden Bescheid wissen, wenn es Ihrem Chat passiert.
Sie werden benachrichtigt, wenn eine Person zu einem Gruppenchat hinzugefügt wird, ob verschlüsselt oder nicht.
Das erste, was ein Server tut, nachdem ein Mitglied hinzugefügt wurde, besteht darin, alle anderen Mitglieder der Gruppe darüber zu informieren „Jerry wurde zum Chat hinzugefügt.“ Sie werden die Meldung sehen, dass jemand hinzugefügt wurde, und das gilt auch für alle anderen anders. Wenn Jerry mit seinen schlechten Witzen und billigem Bier zur privaten Chat-Party kommt und niemand ihn eingeladen hat, dann ist das so wird ein Zeichen dafür sein, dass etwas nicht stimmt, und niemand sollte an etwas denken, als das er gerade tippen wird Privatgelände. Packen Sie Ihre Sachen ein und wechseln Sie zu einem anderen Chat ohne Jerry und vielleicht sogar zu einem anderen Dienst, der ihn nicht abstürzen lässt.
So kann niemand Ihren verschlüsselten Gruppenchat heimlich ausspionieren, die Ende-zu-Ende-Verschlüsselung wird dadurch jedoch in jeder Hinsicht untergraben. Es muss sofort behoben werden, und vielleicht muss sogar die gesamte Gruppenverwaltungsmethode überarbeitet werden. Zumindest müssen wir uns alle am Kopf kratzen und uns fragen, wie so etwas Programmierern und Codeprüfern entgeht. Es ist eine lächerliche Prämisse, die niemals ausgenutzt werden wird, aber dennoch.
Was musst du machen
Nichts wirklich. Wir danken Rösler, Mainka und Schwenk für die Arbeit, die sie bei der Suche nach dieser Sicherheitslücke geleistet haben ist ein undankbarer und oft nervtötender Job, aber darüber hinaus müssen Sie Ihre Routine nicht wirklich ändern alle. Eine Methode zur Authentifizierung der Anfrage zum Hinzufügen eines Mitglieds zu einem verschlüsselten Gruppenchat wird von den Leuten geklärt, die WhatsApps behalten Wenn die Räder in Kürze durchdrehen, wird dies von einem Fehler, der niemals ausgenutzt werden kann, zu einem Fehler, der nicht mehr ausgenutzt werden kann alle.
Wichtig ist, dass Sie aufgepasst haben, denn das nächste Der Fehler könnte sehr wohl einer sein, der Maßnahmen Ihrerseits erfordert. Und es wird noch einen weiteren Fehler geben, also stellen Sie sicher, dass Sie weiterhin aufmerksam sind.