Las Vegas. Bei einer IT-Sicherheitskonferenz in den USA weisen zwei Forscher der Universität Wien auf einen Mangel bei der WhatsApp-Verschlüsselung hin.
Forscher der Universität Wien haben im Rahmen der IT-Sicherheitskonferenz Defcon 2025 in Las Vegas eine Schwachstelle im Verschlüsselungsmechanismus von WhatsApp offengelegt. Die Wissenschaftler Gabriel Gegenhuber und Maximilian Günther haben sich angesehen, wie Angreifer die Ende-zu-Ende-Verschlüsselung des Messengers gezielt schwächen können. Grundlage ihrer Analyse war eine Studie, die mögliche Risiken sowohl für Vertraulichkeit als auch für die Erreichbarkeit von WhatsApp-Nachrichten beleuchtet.
Mehrere Verschlüsselungsebenen
Im Fokus steht Perfect Forward Secrecy (PFS) – das ist ein Verfahren, das jedem Chat eine eigene Verschlüsselungsebene zuweist. WhatsApp verwendet dafür drei Schlüsselsysteme: einen dauerhaften Identitätsschlüssel, regelmäßig erneuerte Vorschlüssel und individuelle PFS-Schlüssel für jede Nachricht. Fällt eine der Schutzebenen weg, bleibt ein Zugriff auf Nachrichten durch externe Angreifer dennoch schwierig.
Das Wiener Forscherteam zeigte jedoch, dass die ständige Anforderung neuer PFS-Schlüssel die Serverinfrastruktur belasten kann. Sobald eine bestimmte Anfragerate überschritten wird – laut Gegenhuber und Günther mehr als 2.000 Abrufe pro Sekunde –, setzt WhatsApp eine zusätzliche Sicherheitsschicht außer Kraft. Genau das kann dazu führen, dass einzelne Konten zeitweise keine Nachrichten mehr versenden oder empfangen können, berichten Fachmedien aus den USA.
Keine Information an User
Obwohl der eigentliche Zugriff auf Chats nicht direkt möglich ist, kann die Schwachstelle dazu beitragen, die Kommunikationsfähigkeit gezielt zu stören. Eine dauerhafte Gefährdung aller Nutzer besteht nach Einschätzung der Experten jedoch nicht, da die Angriffe einen erheblichen technischen Aufwand erfordern und weiterhin zentrale Schlüssel für den Zugriff nötig wären. Das Forschungsteam hat außerdem untersucht, ob Nutzer über solche Angriffe informiert werden. Im aktuellen Protokoll von WhatsApp erfolgte keine direkte Benachrichtigung bei einer Herabstufung der Verschlüsselungsebene. Diese Transparenzlücke birgt ein gewisses Restrisiko für die Nutzerkommunikation.
Auch die Privatsphäre steht im Fokus: Durch systematische Abfragen können Angreifer laut den Forschern Rückschlüsse auf das Nutzungsverhalten, das Gerätemodell und die Erreichbarkeit einzelner Geräte gewinnen. So lassen sich beispielsweise Aktivitätsmuster und Nutzungszeiten erkennen. Die von den beiden Wiener Experten vorgeschlagenen Schutzmaßnahmen beinhalten technische Eingriffe durch den Anbieter. Beispielsweise würde eine Drosselung der zulässigen Serveranfragen (sogenanntes Rate Limiting) die Angriffsfläche deutlich reduzieren und die Verfügbarkeit sichern. Meta, der Mutterkonzern von WhatsApp, sei bereits im März 2025 über die Schwachstelle informiert worden, heißt es. Bisher sei eine öffentliche Reaktion des Unternehmens aber ausgeblieben. Die Experten empfehlen, die Messenger-Anwendung zumindest regelmäßig zu aktualisieren, um etwaige Sicherheitslücken zeitnah zu schließen.
Jetzt den Newsletter von Extrajournal.Net abonnieren
Täglich aktuell in Ihrer Mailbox.
