WhatsApp: Sicherheitslücken in Gruppenchats entdeckt

Nach #deletefacebook jetzt auch #deletewhatsapp: Sicherheitslücken bei den beiden Giganten sorgen für Unruhe. (Bild: AP Photo)

Nach Facebook steht nun auch WhatsApp in der Kritik von Datenschützern. Zwar schützt es seine Nutzer durch Ende-zu-Ende-Verschlüsselung in Gruppenchats, der Zugang zu den Gruppen ist aber nicht ausreichend geschützt.

Als der Gründer von WhatsApp dazu aufforderte, Facebook zu löschen, sorgte er für einiges an Aufmerksamkeit. Damit lenkte er sie aber nicht zuletzt auch auf WhatsApp selbst und die Sicherheitslücken in Gruppenchats. Anders als Facebook und seine notorisch versteckten Privatsphäre-Einstellungen rühmt sich WhatsApp von jeher mit lückenloser Verschlüsselung und damit dem Schutz der Bilder und Inhalte, die seine User untereinander teilen.

Anders verhält es sich allerdings in Gruppenchats von WhatsApp. Bis zu 256 Personen können an einem solchen teilnehmen, ohne von einem zentralen Administrator freigeschaltet werden zu müssen. Sobald ein Link zu einer solchen Gruppe existiert, ist er grundsätzlich für jeden im Internet auffindbar.

Ein Forscherpaar aus der Schweiz konnte so über einen Zeitraum von sechs Monaten Zugang zu einer halben Million WhatsApp-Nachrichten von fast 50.000 Teilnehmern erlangen. Die Gruppen, denen Kiran Garimella und Gareth Tyson von der École polytechnique fédérale de Lausanne beitraten, hatten Namen wie „funny“, „love vs. life”, „XXX” oder „nude“, andere trugen die Bezeichnungen von politischen Parteien oder Sportmannschaften. Nachdem sie etwa 178 Gruppen beigetreten waren, erlangten sie Zugang zu sämtlichem Material, das darin ab dem Zeitpunkt ihres Beitritts verschickt wurde.

Das Forschungsprojekt diente eigentlich dem Ziel, zu analysieren, wie sich WhatsApp für sozialwissenschaftliche Forschung nutzen lässt. Stattdessen lenkte es die Aufmerksamkeit der Forscher auf die Sicherheitslücken, die in Gruppenchats von WhatsApp existieren. Teilnehmer eines Gruppenchats können die anderen Teilnehmer identifizieren und gezielt ins Visier nehmen. Ihr Fazit: Ende-zu-Ende-Verschlüsselung kann nur dann funktionieren, wenn gleichzeitig keine neuen Mitglieder ohne Zustimmung durch einen oder mehrere Administratoren der Gruppe beitreten können.