Senf dazu: Aufregung um angebliche WhatsApp-Backdoor ist albern

Der britische Guardian hat mit seiner Meldung über eine vermeintliche Backdoor im WhatsApp-Messenger quasi in ein Wespennest gestochen. Und einmal mehr handelt es sich um einen Fall, bei dem eine große Aufregung um eine Sache entsteht, die an sich ... mehr... Verschlüsselung, Kryptographie, Buch, Schlüssel, Truecrypt Bildquelle: Moxylyn Verschlüsselung, Kryptographie, Buch, Schlüssel, Truecrypt Verschlüsselung, Kryptographie, Buch, Schlüssel, Truecrypt Moxylyn

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"Sollte man angesichts der Berichte doch lieber zu einem anderen Messenger wechseln? Hier heißt die Antwort schlicht: Nein."
Das und der rest dahinter kann wohl nur für Technik affine leute gelten...der normale Anwender erwartet doch schlicht dass die versprochene Funktion eben erfüllt was sie bewirbt, davon kann ein normaler Anwender wohl durchaus ausgehen - wenn hier dann aber nachweislich das eben nicht der fall ist, ist das ein massiver Vertrauensbruch zwischen Anbieter und Anwender.
Dabei ist auch gar nicht die Verschlüsselungschwäche ansich der Knackpunkt sondern das verspielte Vertrauen...natürlich kann man sagen wie man Facebook überhaupt vertrauen konnte etc pp aber das muss(te) letztlich jeder mit sich selbst ausmachen

Es ist auch schön dass es in "Expertenkreisen" schon länger grundsätzlich bekannt war, solche erkentnisse helfen aber eben häufig erst wenn sie tatsächlich einem breiten Publikum "schmackhaft" oder verständlich gemacht werden.

"Dafür müsste der Plattform-Betreiber bereitwillig mit diesen kooperieren. Die Erfahrungen der letzten Zeit zeigen aber, dass insbesondere Facebook nun nicht gerade sofort in Aktivitäten verfällt, wenn eine deutsche Behörde nach irgendwelchen Daten fragt. "
Hierzu gehört vor allem das vertrauen in den Dienstanbieter was mich wieder zu obigem führt, das ist SEHR relevant
 
@0711: Kann es sein, dass du den Beitrag nicht zuende gelesen hast? Er hat doch klar beschrieben Warum so vorgegangen wurde.

Nur weil der durchschnittliche Anwender gerne nach dem Prinzip "Wasch mich, aber mach mich nicht nass" handelt, muss man diesen Quatsch ja nicht mitmachen.
 
@Cosmic7110: Doch den habe ich gelesen und dem stimme ich nicht zu, ein Anwender darf auch bei properitären lösungen versprochenes erwarten - ein Prüfung ist für ihn selbst i.d.R. so oder so nicht möglich, egal ob offene oder geschlossene lösung...er muss sich immer auf die aussagen dritter verlassen
 
@0711: Aber die Aussagen sind doch deutlich: wenn du Schlüssel nicht persönlich überprüft, sind sie nicht sicher. Generell. Bei jedem Messenger.
Threema z.B. zeigt solche Kontakte gelb an, bis du die Keys verifiziert hast. Machst du das nicht, ist Threema auch kein Stück sicherer. Und achtest du nicht darauf, dass deine Kontakte "grün" bleiben, bist du ebenfalls nicht sicherer dran.
 
@der_ingo: Und wie machst du das bei WA?
 
@der_ingo: Wie überprüft man die Schlüssel in WhatsApp? WA sagt einfach die Verbindung ist verschlüsselt, gibt aber keinerlei Möglichkeit das zu prüfen oder die Schlüssel zu verifizieren. In dem Artikel ging es nicht um das Problem des Man-in-the-Middle Angriffs wenn man die Schlüssel nicht prüft, sondern darum dass es in WA keine Möglichkeit diese Prüfung durchzuführen und somit die Attacke erst möglich wird, unter aktiver Mitwirkung von WA.
 
@ZappoB: gar nicht.
 
@Gispelmob: der Witz ist der: auch bei Threema musst du dich drauf verlassen, dass der Messenger dir wirklich nur dort ein grünes Symbol anzeigt, wo die Schlüssel verglichen wurden.
Dein gesamtes Vertrauen hängt also daran, dass der Anbieter in seinem Programm intern das macht, was er nach außen vorgibt. Denn natürlich könnte Threema eine Routine einbauen, die dir trotz neuem Schlüssel weiterhin "alles okay" zeigt.

Am Ende bleibt es dabei, dass du immer irgendwo dem Anbieter vertrauen musst. Denn er hat die Hoheit über das Programm.
 
@ZappoB: Auf den chat mit dem Kontakt, lange auf den Namen, und dann auf "Sicherheitscode verifizieren".
 
@dognose: ok, cool, danke für die Info.
 
@der_ingo (re:1): Es geht nicht darum, dass Du den Schlüssel erst persönlich überprüfen mußt um sicher zu sein. Es geht darum, ob der Anbieter vorgibt, dass die Kommunikation sicher ist! Tut er das, MUßT Du Dich darauf verlassen können OHNE ! das überprüfen zu müssen.
 
@Kiebitz: die entsprechende Option, dass WhatsApp dich da warnt, gibt es ja. Man muss sie nur aktivieren.
Und ja, man muss sich auf vieles verlassen können, weil man es nicht selber überprüfen kann.
 
@der_ingo: ja das ist klar nur dass einem WA nicht mal die option gibt offline nachrichten beiseite zu schieben bis man den key zumindest gesehen hat und dann auf okay drückt (muss ja nicht standard sein) macht das zu ner Theoretischen backdoor, was vor allem dank US gesetzen für viel spaß sorgt. und bzgl "whatsapp kann keine nachrichten mitlesen" (eigene aussage) traue ich gerade aufgrund dessen nicht, da wenn die behörde denkt dass da was los ist in offline nachrichten wird der schlüssel zwangsgewechselt und die nachrichten flattern rein. und dazu könnte WA auch dem betroffenen so tun als ob der andere off wäre und während der betroffene fleißig nachrichten tippt, kommt der neue key und bevor der betroffene was weiß sind die nachrichten neu versendet.
 
Man könnte aber auch einfach direkt auf Signal wechseln. Kostenlos, genauso einfach, ohne Datensammler im Hintergrund und ohne diese "Design-Entscheidung"...
 
@Themis: Funktioniert Signal denn auch mit Whatsapp? Nein? Wie überzeugt man denn dann seine ganzen Kontakte, die einfach nur "chatten" möchten?

Eben. Und aus diesem Grund wird jeder alternative Messenger immer hinter Whatsapp zurückstehen. Außer, die Entwickler wachen mal auf.
 
@Mithena: Was hindert dich daran, selbst zu Signal zu wechseln? Das Geblubber in den WA-Gruppen? Wer mit dir Kommunizieren möchte, wird einen Weg finden (eMail, SMS, iMessage, was auch immer). WA befriedigt bei den Meisten nur noch die Sucht, möglichst ALLE Kontakte in der WA-Liste zu haben... auch wenn es total unnötig ist. Ich bin vor Jahren schon weg von WA und habe keinerlei Kommunikationsprobleme mit meinen Kontakten.
 
@ZappoB: Was genau habe ich davon wenn ich zu Signal wechsle und mich meine Kontakte dann über "eMail, SMS, iMessage, was auch immer" kontaktieren?^^
 
@MrKlein: ach komm, so viel Fantasie braucht man dazu jetzt aber nicht...
 
@Themis: Das dachte ich mir auch aber laut Appstore möchte Signal auf alles zugreifen was so auf meinem Smartphone stattfindet. Das schreckt mich ab auch wenn ich gerne mal versuchen möchte.

@Mithena, man muss ja nicht alle Kontakte überzeugen. Ich schreibe mit meiner Partnerin recht viel und wenn sie alleine schon wechselt und ich auch, reicht mir das erstmal.

Bei Leuten mit denen man nur triviales schreibt habe ich mit Whatsapp kein Problem.
 
Das Alec Muffett Kommentare wie "hochgradiges Flachwichsertum" nutzt und damit alle Nutzer, die Sicherheitsbedenken haben, in den Dreck zieht und das obwohl WA ja so sicher sein soll, sagt schon alles über dieses arrog.... Ars...... aus !
 
@SuperSour: er bezeichnet die Aufregung um die Sache so. Das hat nichts mit den Usern zu tun.
 
Naiv ist es zu glauben, die Nachrichten könnten nicht mitgelesen werden, "albern" ist die Diskussion deswegen aber noch lange nicht. Man kann es natürlich hinnehmen wie bisher, aber ob das gut ist, kann dann jeder für sich selbst entscheiden.

"Die Erfahrungen der letzten Zeit zeigen aber, dass insbesondere Facebook nun nicht gerade sofort in Aktivitäten verfällt, wenn eine deutsche Behörde nach irgendwelchen Daten fragt".
-> Aber vielleicht bei einer US amerikanischen.. ;-)
 
@Sp!der: Der Grund warum Facebook hier nicht in Aktivitäten verfällt ist klar. In Staaten die Facebook Konsequenzen androhen und vollziehen verfällt der Konzern natürlich in Aktivitäten. Das sind dann eher totalitär oder autokratisch geführte Staaten wie China, Türkei, Russland und bald wahrscheinlich auch USA.
 
@Orka: Dagegen ist erstmal nichts zu sagen (also gegen deine Begründung), es ändert trotzdem nichts an der Tatsache, dass sie es dennoch machen und es im Artikel verharmlost wird, nur weil das 'scheinbar' in Deutschland weniger der Fall sein soll.
 
@Sp!der: Das war auch nicht so gemeint, sondern eher in der Sicht das man diesem Laden definitiv nicht trauen darf. Wer garantiert uns denn das hier in fünf Jahren oder so hier nicht auch solche Konsorten an der Macht (beteiligt) sind?
 
Herr Kahle, gern öfter ihr Senf zu Themen die aktuell sind schöner Beitrag. Gefallt mir :)
 
Darf man das auch "Anders" sehen?

Hat WhatsApp einen Genetischen Schaden, also sowas wie einen Geburtsfehler, oder ist das was WhatsApp seinen Nutzer weismachte einfach eine Kalkulierte Lüge?
Darf man ein Unternehmen dafür Kritisieren das sein Produkt nicht mal den eigenen Anforderungen entspricht, "Schutz der Privatsphäre und Sicherheit sind in unseren Genen."?

https://www.whatsapp.com/faq/de/general/28030015

Das einzige was die absolute Mehrheit der der Nutzer hat ist Vertrauen, sie können die Technik nicht durchhauen, wenn dieses Vertrauen wissentlich missbraucht wird schadet das NICHT nur dem Nutzer, es schadet uns allen, denn was anderes als Permanentes Mistrauen kann daraus nicht erwachsen.

So zu tun als wenn das nicht der Rede wert wäre, das ein eklatanter Produktmangel wegen der Bequemlichkeit der Nutzer zu verschmerzen wäre, ist aus meiner Sicht schlimmer als die Lüge!
 
@Gast11962: Whatsapp hatte schon Hunderte Millionen User, bevor es überhaupt eine Verschlüsselung gab.

So zu tun als würden Nutzer hier gemein getäuscht oder von einer kalkulierten Lüge sprechen ist völlig überzogen.
 
@dognose: Ich habe eine vergleichende Frage gestellt, daraus und damit aus dem Kontext ein Element zu reißen ist völlig unsachlich!
Was vor der Verschlüsselung war ist auch völlig nebensächlich, denn mein Post und er darin enthaltenen Link beziehen sich einzig auf den Umgang und den eigenen Ansprüchen von WhatsApp mit der Verschlüsselung.

Das ein Versprechen (Link) und ein eindeutiger Produktmangel verharmlost werden schient dir uninteressant, genau das ist es wogegen ich mich wende!
 
Die Leute die WhatsApp und Facebook nutzen sind sowie schon gläsern, für die ist der Wechsel zu spät. Die interessiert ihre Datensicherheit sowie nicht, wahrscheinlich geben sie diesbezüglich generell alles freiwillig her was sie haben. Da sind nur wenige die sich wirklich Gedanken machen und die will keiner hören.
 
Mir ist das egal - ich nutze diese Dienste nicht. Von daher können die treiben was sie wollen.
Ach - ohne WhatsApp und Facebook erreicht man seine Freunde nicht mehr? Was für ein Quatsch.
 
Ich mach mich ja gerne über Aluhut-Träger lustig und sehe den Guardian auch ab und an mal eher vorschnell unterwegs als journalistisch sorgfältig.

Aaaber:

Die Kohle, die Zuckerberg hingelegt hat, schreit förmlich nach Gegenwert. Was ist einfacher, um die Trends und Bedürfnisse der Zeit zu erkennen, als im meist verbreiteten Messenger mitzulesen? Extern mag sich Facebook verschlossen halten, aber intern? - !?

Die Personalisierung der erhobenen Daten (wovor sich Freund Aluhut immer fürchtet) ist dabei völlig egal: es geht um die Strömung, nicht das Fischlein im Wasser.

Klar, plötzlich ist diese 'Backdoor' nicht.
 
@Zumsl: da fb nachweislich nix anderes als ein kind der nsa ist(ohne deren förderung wäre die plattform nie entstanden), kann sich auch jeder denken, warum diese firma die mit weiten abstand wichtigste kommunikationsplattform aufgekauft hat...dazu braucht man noch nicht mal nen aluhut...der trick mit der verschlüsselung war wie sich jetzt wohl bestätigt hat nur eine einlullaktion für unbedarfte möchtegernbösewichte...die die sie eigentlich erwischen wollen nutzen längst sichere kommunikationswege...ein beweis: der weihnachtsmarktattentäter war zwar als gefährder eingestuft, man konnte ihm aber nicht genügend nachweisen um ihn beizeiten wegzusperren...
 
@Rulf: Das klingt sehr interessant, was du schreibst! Wo sind denn die Nachweise zur NSA und Facebook zu finden? Ich würde das gerne nachlesen. Aber bitte jetzt nicht in irgendwelchen Foren, in denen man sich mit Theorien gegenseitig beweihräuchert, sondern faktisch publiziert. Auch der Beweis zum "Weihnachtsmarktattentäter" fehlt mir, oder verwechselst du ein Indiz mit einem Beweis?
 
"Die Erfahrungen der letzten Zeit zeigen aber, dass insbesondere Facebook nun nicht gerade sofort in Aktivitäten verfällt, wenn eine deutsche Behörde nach irgendwelchen Daten fragt."...da fb eine amerikanische firma ist, gehen denen die deutschen behörden natürlich am arsch vorbei...bei amerikanischen sieht das ganz anders aus...die haben nämlich schon den vollen zugriff, was unser herr innenmisere auch schon mal neidisch bemängelt hatte...
 
@Rulf: ..was logischerweise die Frage aufwirft, ab wann der Zeitpunkt erreicht ist, ab dem man (von z.B. staatlicher Seite) "zu lange" an das Gute in und bei einer Firma glaubt bzw. geglaubt hat.
Meistens ist man nämlich erst hinterher schlauer und meistens braucht es Monate wenn nicht Jahre, bis sich jemand traut sich zu exponieren bzw. als Bremsklotz tätig zu werden..
Von Anfang an, quasi schon bei Firmengründung, derb radikal bzw. regulatorisch und per Gesetz vorgebend tätig zu werden, nur damit man später nicht.. das ist glaub ich sehr gut diskutabel.

Der richtig relevante Punkt dürfte aber einfach der sein: wieviel hat man, so als Staat bzw. staatliches Organ, so wirklich wirklich zu wollen, wenn man was bewegt kriegen will oder gar "muss".
Eben zum Zeitpunkt, an dem man ERST erkennt und so richtig wahrhaben will, wie und das eine gewisse Firma so und so 'schlecht' tickt..
Stammtischparolen, das der böse Staat ein gar übler Spaßverderber sein möchte, dem armen Whatsapp oder Facebook oder xyz doch ganz gewiss und anlasslos eine rein würgen möchte..die dürften das ganze zusätzlich erschweren bzw. Lobbyisten-Repertoir sein.
 
Das ist kein "Flachwichsertum", sondern es wird mal bekannt gemacht was vorher nur die wenigsten wußten!
Jedoch, 99% der WhatsApp Nutzer interssiert es einen feuchten Kehricht, Hauptsache man kann Bildchen verschicken.
 
@bebe1231: 100% ack, in beiden Punkten.
 
Wenns eine "alltbekannte Weisheit" ist, kann man wohl nicht laut genug schreien, wenn es dennoch in aktueller Software Verwendung findet und eigentlich als dumme Idee anerkannt wurde...

Nur dumme Kinder greifen zweimal freiwillig auf eine heiße Herdplatte um zu schauen, was beim zweiten Mal mit der Hand passiert...

Was wissen Kunden schon über die Weisheiten der Kryptographen? Was für ein Arschloch, sich großkotzig zurückzulehnen und "ist doch bekannt, bleibt mal locker" zu sagen...
 
"Wenn der Schlüssel nicht verifiziert ist" - Und der Schlüssel wird dann durch WhatsApp zertifiziert (also mit der App durch Scannen eines QR-Codes). Wenn man dann ohne! Benachrichtigung den Schlüssel tauschen kann, dann ist diese "Verifikation" genau gar nichts wert.......

" ein erneuter Austausch der Keys erzwungen wird. Letztere lassen sich dann abfangen und zum Dekodieren von Mitteilungen verwenden." - Wieso kann man den Schlüssel abfangen? Bei einem ordentlichen Schlüsselaustausch wäre das gar nicht möglich. Oder ist auch hier eigentlich ein MITM gemeint?
 
@DRMfan^^: Du kannst in den Optionen eine Warnung einschalten, falls sich der Schlüssel ändert.
 
@dognose: Guter Tipp, habe ich bei weiterer Recherche schon gesehen. Allerdings scheint WhatsApp relativ häufig Schlüssel zu regenerieren (durch neue zu ersetzen), nicht nur zB bei einem handywechsel.
 
@dognose: ja schön das ändert aber nix dran dass nachrichten die gesendet wurden während der andere offline ist automatisch mit dem neuen key neu versendet werden. ergo man weiß zwar dass die nachricht im eimer sein könnte, jedoch kann man dies nicht verhindern nichtmal per option.
 
"Das ist nichts Neues. Wenn du deine Schlüssel für Signal/WhatsApp nicht verifizierst, kommt man per Man-in-the-Middle an die Kommunikation."
is klar spaßvogel, jedoch wenn ohne verifikation offline nachrichten einfach mit dem neuen Key ohne dass ich gefragt werde (es gibt das nicht mal als option) neu versendet werden ist das eine Potentielle Backdoor da man gar nicht verifizieren KANN bevor die betroffenen nachrichten raus sind.
Kommentar abgeben Netiquette beachten!
Einloggen

Facebooks Aktienkurs in Euro

Facebook Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte