Deswegen ist WhatsApp gefährlich

Warnung des Telegram-Gründers aus dem Englischen übersetzt via DeepL

— ein Gastbeitrag fürs t.me/multipolar_magazin —

Vor einigen Monaten schrieb ich über eine WhatsApp-Backdoor, die Hackern den Zugriff auf alle Daten auf jedem Telefon mit WhatsApp ermöglichte [1]. Die Muttergesellschaft Facebook behauptete damals, dass sie keine Beweise dafür hatte, dass die Schwachstelle jemals von Angreifern genutzt wurde [2].

Letzte Woche wurde klar, dass diese Hintertür ausgenutzt wurde, um private Mitteilungen und Fotos von Jeff Bezos - der reichsten Person der Welt - zu extrahieren, der sich leider auf WhatsApp verließ [3]. Da der Angriff anscheinend von einer ausländischen Regierung ausging, ist es wahrscheinlich, dass zahllose andere Unternehmens- und Regierungschefs ins Visier genommen wurden [4].

In meinem November-Post habe ich dies vorausgesagt [5]. Die Vereinten Nationen empfehlen ihren Beamten nun, WhatsApp von ihren Geräten zu entfernen [6], während Personen, die Donald Trump nahe stehen, geraten wurden, ihre Telefone zu wechseln [7].

Angesichts des Ernstes der Situation würde man erwarten, dass sich Facebook/WhatsApp entschuldigt und sich verpflichtet, in Zukunft keine Hintertüren in ihre Apps zu setzen. Stattdessen kündigten sie an, dass Apple, nicht WhatsApp, die Schuld trage. Der Vizepräsident von Facebook behauptete, dass iOS, und nicht WhatsApp, gehackt worden sei [8].

Wenn Sie meinem Blog folgen, wissen Sie, dass ich nicht gerade ein Apple-Fanboy bin [9]. iOS-Geräte haben viele Probleme mit der Privatsphäre. Aber dies war nicht eines davon - aus zwei Gründen:

1) Die "korrupte Video"-Schwachstelle von WhatsApp war nicht nur auf iOS, sondern auch auf Android- und sogar auf Windows Phone Geräten vorhanden. Das heißt, auf allen mobilen Geräten mit installiertem WhatsApp.

2) Diese Sicherheitslücke war in anderen Messaging-Anwendungen unter iOS nicht vorhanden. Hätte sich Jeff Bezos auf Telegram statt auf WhatsApp verlassen, wäre er nicht von Personen erpresst worden, die seine Kommunikation kompromittiert haben [10].

Folglich war das Problem nicht iOS-spezifisch, sondern WhatsApp-spezifisch.

WhatsApp verwendet bei der Vermarktung die Worte "Ende-zu-Ende-Verschlüsselung" als eine Art magische Beschwörung, die allein die gesamte Kommunikation automatisch sicher machen soll [11]. Diese Technologie ist jedoch keine Wunderwaffe, die Ihnen von sich aus absolute Privatsphäre garantieren kann.

Telegram hat die Ende-zu-Ende-Verschlüsselung für die Massenkommunikation schon Jahre vor WhatsApp eingeführt, und wir haben nicht nur die Stärken, sondern auch die Grenzen dieser Technologie bedacht. Andere Aspekte einer Messaging-Anwendung können eine End-to-End-Verschlüsselung unbrauchbar machen. Im Folgenden finden Sie drei Beispiele dafür, was schief gehen kann.

Erstens: Es gibt Backups. Benutzer wollen ihre Chats nicht verlieren, wenn sie die Geräte wechseln, also sichern sie die Chats in Diensten wie iCloud - oft ohne zu wissen, dass ihre Backups nicht verschlüsselt sind. Die Tatsache, dass Apple vom FBI gezwungen wurde, die Verschlüsselungspläne für iCloud aufzugeben, ist bezeichnend [12]. Das ist einer der Gründe, warum Telegram sich nie auf Cloud-Backups von Drittanbietern verlässt und Secret Chats nie irgendwo gesichert werden.

Zweitens gibt es Hintertüren. Die Strafverfolgungsbehörden sind mit der Verschlüsselung nicht allzu glücklich und zwingen die Entwickler von Anwendungen, heimlich Schwachstellen in ihre Anwendungen einzubauen. Ich weiß das, weil einige von ihnen an uns herangetreten sind - und sich geweigert haben, zu kooperieren. Infolgedessen ist das Telegramm in einigen Ländern, in denen WhatsApp keine Probleme mit den Behörden hat, verboten, am verdächtigsten in Russland und im Iran [13].

Hintertüren werden in der Regel als "versehentliche" Sicherheitsmängel getarnt. Allein im letzten Jahr wurden 12 solcher Fehler in WhatsApp gefunden. Sieben davon waren kritisch - wie der, der Jeff Bezos [14] erwischt hat. Einige werden Ihnen vielleicht sagen, dass WhatsApp immer noch "sehr sicher" ist, obwohl in den letzten 12 Monaten 7 Hintertüren freigelegt wurden, aber das ist statistisch gesehen einfach unwahrscheinlich. Telegram, eine Anwendung, die von Hunderten von Millionen von Menschen, einschließlich Staatsoberhäuptern und großen Unternehmen, verwendet wird, hatte in den letzten 6 Jahren keine Probleme dieser Schwere.

Drittens gibt es Mängel bei der Implementierung der Verschlüsselung. Wie kann jemand sicher sein, dass die von WhatsApp behauptete Verschlüsselung diejenige ist, die tatsächlich in seinen Anwendungen implementiert ist? Ihr Quellcode ist versteckt und die Binärdateien der Anwendungen sind verschleiert, wodurch sie schwer zu analysieren sind. Im Gegenteil, die Telegram-Apps sind seit 2013 quelloffen und ihre Verschlüsselung ist vollständig dokumentiert. Telegram unterstützt verifizierbare Build-Versionen sowohl für iOS als auch für Android - d.h. jeder kann sicherstellen, dass der Quellcode auf GitHub und die Telegram-Anwendung, die man herunterlädt, das gleiche ist [15]. Keine andere Messaging-Anwendung macht das für beide mobilen Betriebssysteme, und man könnte sich fragen, warum.

Lassen Sie sich nicht vom technischen Äquivalent der Zirkuszauberer täuschen, die Ihre Aufmerksamkeit auf einen isolierten Aspekt lenken möchten, während sie ihre Tricks woanders durchführen. Man möchte, dass Sie an eine Ende-zu-Ende-Verschlüsselung denken, die das Einzige ist, worauf Sie für Ihre Privatsphäre achten müssen. Die Realität ist viel komplizierter.

Einige könnten sagen, dass ich als Gründer einer rivalisierenden App voreingenommen sein könnte, wenn ich WhatsApp kritisiere. Natürlich bin ich voreingenommen. Natürlich halte ich Telegram Secret Chats für wesentlich sicherer als jedes konkurrierende Kommunikationsmittel - warum sonst sollte ich Telegram entwickeln und verwenden?

Die Aussagen in diesem Beitrag basieren jedoch auf Fakten, nicht auf persönlichen Vorlieben. Und genau wie der Code der Telegramm-Apps sind diese Fakten überprüfbar und werden durch die unten aufgeführten Quellen Dritter weiter unterstützt. Wenn es um die Sicherheit geht, sollte niemand das Wort von jemandem als selbstverständlich ansehen.

Quellen-Verzeichnis:

[1] Techspot: Hacker können einen WhatsApp-Fehler in der Art und Weise, wie es mit Videos umgeht, nutzen, um die Kontrolle über Ihr Telefon zu übernehmen - 19. November 2019

[2] ZDNet: Angreifer, die eine WhatsApp MP4-Videodatei-Sicherheitslücke nutzen, können von Ferne einen Programmcode ausführen - 18. November 2019

[3] Popular Mechanics: Wie Jeff Bezos auf WhatsApp gehackt wurde - und wie es Ihnen passieren könnte - 26. Januar 2020

[4] Forbes: Wenn das iPhone von Jeff Bezos über WhatsApp gehackt werden kann, kann das auch bei Ihnen der Fall sein - 22. Januar 2020

[5] Pavel Durov: Eine neue Hintertür wurde in WhatsApp gefunden - ohne dass es öffentlich problematisiert wurde - 20. November 2019

[6] Reuters: Laut UNO dürfen Beamte WhatsApp seit Juni 2019 nicht mehr verwenden, da es sich um eine Sicherheitsfrage handelt - 23. Januar 2020

[7] CNN: UN-Experte empfiehlt Kushner, sein Telefon nach mutmaßlichem saudischen Hack zu wechseln - 23. Januar 2020

[8] Gizmodo: Facebook gibt unverständliche Antwort auf Jeff Bezos Hack, der über die Schuld von iOS entscheidet - 26. Januar 2020

[9] Pavel Durov: iCloud ist jetzt offiziell ein Überwachungsinstrument - 21. Januar 2020

[10] Jeff Bezos: Nein danke, Herr Pecker - 7. Februar 2020

11] BBC Radio 4: Wir sind so sicher, wie Sie es sein können, dass die Technologie der Ende-zu-Ende-Verschlüsselung nicht gehackt werden kann: Facebook's Nick Clegg - 24. Januar 2020