Als WhatsApp im April vergangenen Jahres die Ende-zu-Ende-Verschlüsselung für alle Nutzer einführte, bekam die Facebook-Tochter viel Lob. Praktisch über Nacht konnten schließlich rund eine Milliarde Menschen weltweit sicherer kommunizieren. Doch auch wenn WhatsApp ein bekanntes Verschlüsselungsprotokoll einsetzte, blieben Zweifel: Hat das US-Unternehmen wirklich keine Hintertüren eingebaut, mit der Behörden wie das NSA und FBI auf Wunsch die Nachrichten trotzdem einsehen könnten?

Die Zweifler bekamen am heutigen Freitag scheinbar neue Argumente. Der britische Guardian berichtete von einer "Hintertür, die das Ausschnüffeln verschlüsselter Nachrichten erlaubt". Vom Guardian befragte Datenschützer warnen vor einer "großen Gefahr für die Redefreiheit", da Regierungsorganisationen die Schwachstelle ausnutzen könnten.

Das klingt besorgniserregend, der Artikel wurde schnell in den sozialen Netzwerken geteilt. Tatsächlich ist der Fall aber bei Weitem nicht so exklusiv, wie ihn der Guardian verkauft. Die mutmaßliche Hintertür ist nämlich schon ziemlich lange bekannt, wie die Zeitung an späterer Stelle auch selbst schreibt.

Seit dem 16. April 2016, um genau zu sein. An diesem Tag, keine zwei Wochen nachdem WhatsApp die Verschlüsselung in seinen Apps einführte, beschrieb der deutsche Kryptografie-Experte Tobias Boelter eine "Retransmission Vulnerability" in seinem Blog. Es ist die gleiche Schwachstelle, von der nun die Rede ist. Auch auf dem Chaos Communication Congress in Hamburg im Dezember stellte Boelter sie noch einmal vor – in einem kurzen, fünfminütigen Vortrag.

WhatsApp erzeugt neue Schlüsselpaare

Boelter, derzeit Doktorand an der Universität von Kalifornien in Berkeley, fand ein Angriffsszenario in der Schlüsselvergabe von WhatsApp. Bei der Ende-zu-Ende-Verschlüsselung funktioniert diese folgendermaßen: Sender (Bob) und Empfänger (Alice) erzeugen jeweils ein Schlüsselpaar. Der private Schlüssel liegt auf den jeweiligen Geräten von Alice und Bob, er wird nicht mit anderen geteilt. Der öffentliche Schlüssel dagegen schon. Eine Nachricht wird von Bob mit dem öffentlichen Schlüssel von Alice verschlüsselt und kann dann von ihr nur mit ihrem privaten Schlüssel wieder entschlüsselt werden. Ein Mitlesen auf dem Transportweg ist nicht möglich.

Im Fall von WhatsApp gibt es allerdings eine mögliche Schwachstelle. Ist Alice offline, werden Nachrichten nicht zugestellt, sie sind bei Sender Bob in WhatsApp mit nur einem Häkchen statt zwei versehen. In der Zwischenzeit kann WhatsApp Alice ohne ihr Wissen ein neues Schlüsselpaar zuweisen. Die Nachrichten werden von Bob anschließend noch einmal automatisch mit dem neuen Schlüssel verschickt, obwohl nicht sichergestellt wurde, dass es sich wirklich um den gewünschten Adressaten handelt. In diesem Moment könnten die Inhalte von WhatsApp abgegriffen werden.

Wieso ist das überhaupt möglich? Ein Szenario: Alice ertränkt ihr Smartphone im Meer. In der Zwischenzeit schickt ihr Bob mehrere Nachrichten, die dann natürlich nicht zugestellt werden können. Einige Tage später hat sich Alice ein neues Smartphone gekauft. Sie meldet sich wieder mit ihrer Nummer bei WhatsApp an und bekommt ein neues Schlüsselpaar zugewiesen. Bobs WhatsApp erkennt, dass Alice wieder online ist und verschickt die bis dato nicht zugestellten Nachrichten einfach noch einmal.

So weit, so praktisch. Schließlich gehen so keine Nachrichten verloren. Doch das System könnte ausgenutzt werden. "Wenn WhatsApp nun entscheidet, Nachrichten abgreifen zu wollen, könnten sie den Sender einfach 20 Nachrichten schicken lassen ohne sie weiterzuleiten. Dann würde sich WhatsApp selbst ein Schlüsselpaar generieren und dem Sender sagen, der Schlüssel hat sich geändert. Die Nachrichten werden anschließend noch einmal versendet und landen bei WhatsApp", erklärt der Sicherheitsforscher Roland Schilling von der Technischen Universität Hamburg im Gespräch mit ZEIT ONLINE.