WhatsApp-Verschlüsselung nicht für Metadaten

WhatsApp hat vor Kurzem seine bereits seit Jahren in Entwicklung befindliche Ende-zu-Ende-Verschlüsselung für Alle aktiviert, weiterhin werden jedoch Metadaten der Gespräche unverschlüsselt übertragen.

Das ist etwas, dass WhatsApp ausgerechnet mit den mancherorts geliebten, anderswo verhassten, PGP-Mails gemein hat: Die Inhalte sind verschlüsselt, die Metadaten nicht. Daraus lassen sich bei erfolgreicher Überwachung Kommunikationsgewohnheiten- und Profile erstellen, zumal es bei WhatsApp mit seinen Gruppen noch um ein Vielfaches interessanter sein dürfte. Hier könnten ganze Netzwerkstrukturen abgebildet werden.

Zudem steigt in großen Gruppen, die bei WhatsApp aktuell bis zu 255 Teilnehmer haben können, immer die Gefahr, dass eine nicht kryptofähige Clientversion das Klartextdowngrade für Alle erzwingt. Dies wird allerdings in der Gruppe gekennzeichnet. Trotzdem, die von den TextSecure / Signal-Entwicklern übernommene Verschlüsselung gilt prinzipiell als vorbildlich sicher, wenn sie denn auch sauber implementiert ist.

Daran hat WhatsApp zwar Jahre gearbeitet, aber es bleibt natürlich immer ein gewisses Restrisiko, wie sich immer wieder auch bei über Jahrzehnte als sicher und bewährt geltenden Protokollen gezeigt hat. Audits unabhängiger Sicherheitsforscher könnten hier helfen, sind aber derzeit nicht in Sicht.

[quelle]Quelle: Spiegel Online[/quelle]