WhatsApp backdoor allows snooping on encrypted messages

WhatsApp = Facebook pretends to protect your privacy with a faulty implementation of the OpenWhisper-System-Encryption.

„Steffen Tor Jensen, head of information security and digital counter-surveillance at the European-Bahraini Organisation for Human Rights, verified Boelter’s findings. He said: “WhatsApp can effectively continue flipping the security keys when devices are offline and re-sending the message, without letting users know of the change till after it has been made, providing an extremely insecure platform.”

Boelter said: “[Some] might say that this vulnerability could only be abused to snoop on ‘single’ targeted messages, not entire conversations. This is not true if you consider that the WhatsApp server can just forward messages without sending the ‘message was received by recipient’ notification (or the double tick), which users might not notice. Using the retransmission vulnerability, the WhatsApp server can then later get a transcript of the whole conversation, not just a single message.”“

src: https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages

„Goldmine für Behörden“

Datenschützer warnen bereits vor diesem Problem. Beim Centre for Research into Information, Surveillance and Privacy sieht man diese Hintertür als „Goldmine für Sicherheitsbehörden“, „Verrat am Vertrauen der Nutzer“ und „riesige Gefahr für die Meinungsfreiheit“.

Whatsapp wirbt stark mit seiner Sicherheit und soll auch von vielen politischen Aktivisten und Diplomaten verwendet werden. Besonders heikel ist das Leck im Zusammenhang mit Gesetzen wie dem Investigatory Powers Act in Großbritannien, welcher Regierungsbehörden de facto das Recht zur verdachtsfreien Massenüberwachung einräumt.

Betreiber weisen Vorwurf zurück –Problematische Implementierung der Verschlüsselung, Datenschützer sehen „riesige Gefahr für Meinungsfreiheit“

Seit einiger Zeit bietet der populäre Messenger Whatsapp Ende-zu-Ende-Verschlüsselung. Diese soll sicherstellen, dass Nachrichten nur vom Verfasser und den vorgesehenen Empfängern gelesen werden können. Selbst Whatsapp-Eigentümer Facebook erklärt, selber keine Möglichkeit zu haben, Chats einzusehen.

Der Sicherheitsforscher Tobias Boelter von der University of California hat nun jedoch eine kritische Lücke entdeckt, berichtet der Guardian. Offenbar wurde die Verschlüsselung bei Whatsapp auf eine unsichere Weise implementiert, sodass über eine Hintertür Nachrichten auslesbar sind.

Problematischer Umgang mit Verschlüsselung

Whatsapp nutzt das Signal-Protokoll von Open Whisper Systems, über das der Austausch und die Verifizierung der Schlüssel zwischen den Nutzern abgewickelt werden. Jedoch kann die App ohne Wissen des Senders oder Empfängers die Generierung neuer Schlüssel erzwingen, wenn der Nutzer nicht mit dem Internet verbunden ist. Mit diesen werden noch nicht zugestellte Nachrichten erneut verschlüsselt.

Der Empfänger wird darüber nicht in Kenntnis gesetzt, der Absender erhält nur dann einen Warnhinweis, wenn er „Verschlüsselungswarnungen“ in den Einstellungen aktiviert hat. Aber auch erst dann, wenn die Nachricht bereits zugestellt wurde. Durch den erzwungenen Schlüsselwechsel könnte Whatsapp theoretisch diese Botschaften einsehen oder einem Dritten, wie etwa einem Geheimdienst, zugänglich machen.

http://derstandard.at/2000050695083/Whatsapp-Hintertuer-ermoeglicht-Mitlesen-von-Nachrichten

Facebook is openly cooperating with German Law Enforcement, here the statistics:

Germany Requests for Data

We respond to valid requests relating to criminal cases. Each and every request we receive is checked for legal sufficiency and we reject or require greater specificity on requests that are overly broad or vague.

Request Type Total Requests Users / Accounts Requested Percentage of Requests Where Some Data Produced
Legal Process 3,621 4,503 47.17%
Emergency 74 96 64.86%
Total 3,695 4,599 47.52%

Germany Preservation Requests

We will take steps to preserve account records in connection with official criminal investigations for 90 days pending our receipt of formal legal process.

Preservation Requests Users / Accounts Requested
249 302

Germany Content Restrictions

We restricted access to content alleged to constitute „incitement of hatred” (volksverhetzung) or for violation of the Youth Protection Law, as well as 940 items related to Holocaust denial.

Number of pieces of content restricted
1,093

https://govtrequests.facebook.com/

admin