iphone-ticker.de — Alles zum iPhone. Seit 2007. 21 110 Artikel
Verbesserter Datenschutz

WhatsApp verschlüsselt jetzt auch iCloud-Backups

Artikel auf Google Plus teilen.
36 Kommentare 36

WhatsApp engagiert sich mittlerweile vorbildlich für den Schutz persönlicher Daten. Nachdem der Messenger schon geraume Zeit auf Ende-zu-Ende-Verschlüsselung für den direkten Nachrichtenaustausch setzt, werden nun auch in der iCloud gespeicherte Backups verschlüsselt. Dies war bislang nicht der Fall, wenngleich ein Missbrauch durch die von Apple standardmäßig für iCloud vorgesehenen Schutzmechanismen auch zuvor schon relativ unwahrscheinlich war.

Um an die bislang unverschlüsselt in der iCloud gespeicherten Datensicherungen zu kommen, hätten Hacker Zugang zu den betroffenen iCloud-Konto erlangen müssen. Jetzt sind die von WhatsApp dort gespeicherten Daten zusätzlich verschlüsselt, sodass damit zunächst niemand etwas anfangen kann. Eine Entschlüsselung ist nur auf einem Gerät möglich, dass mit einer SIM-Karte ausgestattet ist, auf der die Telefonnummer des WhatsApp-Nutzers hinterlegt ist.

Der neue Sicherheitsmechanismus dürfte die Strafverfolgungsbehörden nicht erfreuen. WhatsApp erntet von diesen ohnehin schon massiv Kritik, so wird dem Messenger unterstellt, dass er aufgrund seiner konsequenten Ende-zu-Ende-Verschlüsselung ein beliebtes Kommunikationsmittel unter Kriminellen darstellt. Dank der nun verschlüsselten Backups wird der Zugriff für die Behörden weiter erschwert, da die Daten selbst wenn eine gerichtliche Anordnung für die Herausgabe der iCloud-Daten besteht, zunächst nur in verschlüsselter Form vorliegen.

WhatsApp hat die Änderung offenbar schon vor mehreren Monaten umgesetzt, jedoch nicht öffentlich kommuniziert. Thema wurde das Ganze nun durch einen Medienbericht, der diesbezüglich ein Forensik-Unternehmen zitiert. Die von dieser Firma unter anderem für staatliche Abnehmer produzierte Schnüffel-Software funktioniere im Zusammenhang mit WhatsApp-Backups nur noch in Verbindung mit einer entsprechenden SIM-Karte. (via TechCrunch)

Laden im App Store
WhatsApp Messenger
WhatsApp Messenger
Entwickler: WhatsApp Inc.
Preis: Kostenlos
Laden
Dienstag, 09. Mai 2017, 15:37 Uhr — chris
36 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Und sich eine entsprechende SIM Karte vom Anbieter zu besorgen ist jetzt warum ein Problem für Strafverfolgungsbehörend?

    • Weil dann eine andere Nummer hinterlegt ist.

      • Das wäre schrecklich, wenn die einzige Sicherheit die Telefonnummer wäre. Es ist sicherlich etwas anderes. Zudem könnte man die Nummer auf eine andere SIM problemlos verlegen (siehe SS7). Deshalb wäre es fahrlässig dies als Sicherheit zu verwenden. Was aber die App als eindeutige nicht kopierbare Informationen von der SIM erhalten kann, ist mir nicht klar. Alle diese Dinge wurden von iOS verboten so wie die App nicht mehr die Push ID vom Gerät erhält, sondern nur noch eine eigene vom System erfundene Push ID. Solche Dinge wurden früher für (Werbe-) Tracking missbraucht. Auch die UUID darf die App nicht mehr abfragen, weil dies auch dafür missbraucht wurde. Deshalb ist mir nicht ganz klar, wie sie das verschlüsselte Backup abhängig von der SIM machen, falls es nicht eine evtl. integrierte Funktion in der iOS-Umgebung ist.

  • Richtig so. WhatsApp wird mir in letzter Zeit richtig sympathisch. Manchmal fragt man sich, was die Herren Ermittler eigentlich gemacht haben, als Pläne für irgendwelche Verbrechen noch im Wohnzimmer unter vier Augen geschmiedet wurden. Die Gespräche wurden schließlich auch nicht in der iCloud gespeichert.

  • Kurze Off-Topic Frage:

    Funktioniert bei euch der AppStore über das vodafone Netz?
    Bei mir geht schon den ganzen Tag nichts.

    Wlan scheint zu gehen.

  • Wenn nur endlich auch mal die AppleWatch-App kommen würde..

  • „WhatsApp hat die Änderung offenbar schon vor mehreren Monaten umgesetzt, jedoch nicht öffentlich kommuniziert.“
    Hat jmd. genauere Informationen zum Zeitpunkt?

  • Ist diese Ende-zu-Ende-Verschlüsselung genauso wie z.B. bei Threema?
    Sprich, kann man mittlerweile wirklich davon ausgehen, das Nachrichten und Medien von niemanden mitgelesen werden können?
    Wenn das wirklich so sein sollte, wäre das bemerkenswert positiv.
    (Obwohl ein bisschen Bauchweh habe ich ja immer aufgrund der Familienzugehörigkeit zu Facebook).

  • Funktionier bei jemandem eigentlich die Siri-Vorlesen Funktion über WA? Bei kommt immerhin die Rückmeldung von Siri, dass was schiefgegangen sei

  • „WhatsApp engagiert sich mittlerweile vorbildlich für den Schutz persönlicher Daten.“ > nicht euer Ernst, oder? Soweit ich weiß, sammelt sie immer noch ungefragt alle Telefonnummern, selbst von Nicht-WP-Nutzen und Facebook will immer noch um jeden Preis die Daten mit WP matchen – entgegen ihren eigenen Versprechungen. In welcher Parallelwelt lebt ihr also?

  • Vorsicht bei WhatsApp:

    Bei Ende-zu-Ende-Verschlüsselung reicht es nicht, dass von Ende zu Ende angeblich verschlüsselt, hinreichend stark und fehlerlos verschlüsselt wird. Es muss auch sicher sein, ob die Endpunkte verifiziert sind. Bei Signal und Threema kann man dies durch das Einscannen des öffentlichen QR-Codes bei jeweiligen Gesprächspartner erreichen. Was bei Signal seltsam ist, dies ist dort etwas versteckt (einen Chat erstellen, dann auf Empfängernamen tappen und im Profil gibt es die Scan-Option, um einen Gesprächspartner zu überprüfen, ob er den gleichen öffentlichen Schlüssel hat). Dies müssen dann beide Gesprächspartner gegenseitig tun. Threema macht dies eindrücklicher durch die drei grünen Punkte, wobei es dann fatal ist, wenn die Gesprächspartner sich gegenseitig per E-Mail den QR-Code zuschicken und so die App Threema betrügen (auch wenn es meistens nicht schlimm ist, aber wenn man unter Beobachtung steht, ist dies durchaus möglich, dass der QR-Code gefälscht wird).

    So eine Verifizierung der Endpunkte (Gesprächspartner) ist mit WhatsApp zwar theoretisch auch möglich, aber praktisch in der Regel unsinnig. WhatsApp beim Sender akzeptiert automatisch einen geänderten öffentlichen Schlüssel (QR-Code-Form). Dies ist fatal und bei Signal oder Threema überhaupt nicht, wodurch eine „man in the middle“-Attacke leicht wird (z.B. NSA schickt dem Sender ganz schnell einen anderen Schlüssel – schon ist überhaupt keine durchgehende Verschlüsselung). In den Einstellungen von WhatsApp kann man aber wenigstens (manuell zusätzlich) einschalten, dass man gewarnt wird, falls der Schlüssel vom Empfänger sich plötzlich geändert hat. Laut einem Test von c’t schien dies früher zu funktionieren (was nach allen Updates hoffentlich weiterhin funktioniert). Schlimm ist aber, dass man vor dem geänderten Schlüssel erst gewarnt wird, wenn man die Nachricht schon gesendet hat. Signal und Threema warnen davor, falls es sich geändert hat.

    Es ist aber schön, falls die Backups nun tatsächlich einwandfrei verschlüsselt in iCloud landen. Ob dies einwandfrei ist, muss man noch ermitteln. Daher rate ich noch nicht zu den iCloud-Backups.

    Der zweite schlimme Fehler von WhatsApp ist, dass es problemlos mit alten WhatsApp-Clients funktioniert. Ja, das klingt paradox, wenn eine problemlose Funktionsweise ein Problem ist. D.h., die Kommunikation verläuft wie früher unverschlüsselt. Ob man wenigstens im Nachhinein nach dem Einschalten dieser Option gewarnt wird, weiß ich nicht.

    .

    Generell: Der mögliche dritte und schlimmste Fehler für sichere Kommunikation ist, dass einer der beiden Endgeräte infiziert ist. Das gilt für alle Messenger. Und ich kenne niemanden, der alles vom Handy des Gesprächpartners weiß oder zumindest ihn als sehr vertrauenswürdig und technisch wissend & kompetent bezüglich Verschlüsselung einschätzen kann. Das ist ein Grundproblem und sollte jeder wissen, dass absolut sichere Kommunikationsapps nicht bedeuten, dass eine Kommunikation absolut sicher ist.

  • Zumindest in der App (Backup) steht das noch nicht so drin?

  • Ende-zu-Ende Verschlüsselung?? Wer ENTschlüsselt denn nun die Nachricht?
    Per Push-Nachricht wird die Message doch teilweise im Klartext übermittelt??

    Als ich damals mit dem programmieren und den Push Nachrichten gespielt habe, wurde der Text in Klartext an die Apple Push Notification Server übergeben.
    Möglich das Apple diese Übermittlung auch schon verschlüsselt, aber die kennen somit einen Teil der Nachricht.

    Wenn die Nacht am iPhone doch ankommt, darf doch eigentlich erst die App selbst die Nachricht entschlüsseln, weil die weiss wie es funktioniert (Schlüssel). Wie kann es dann sein, das im Sperrbildschirm ein Teil der Nachricht schon angezeigt wird, wenn die App noch garnicht geöffnet war?!

    • Ja, Ende zu Ende verschlüsselt. Anscheinend hast du noch ein zu altes Wissen. In iOS ist die „sichere“ Vorschau seit ca. iOS 8 (oder früher oder erst ab 10) möglich. Es kommt also an die App per Push die Nachricht, dass eine neue Nachricht vorliegt. Die App holt die neue Nachricht ab und entschlüsselt sie lokal. Siehe für viele Fragen https://threema.ch/de/faq .

      • (oder ab iOS 9 – hmpf, 9 unterschlagen …)

      • Gut möglich, is einige Jahre her.
        Hab nur noch in Erinnerung gehabt, das man mit der Push-Nachricht schon ein Text übergibt, der dann so auch auf dem iPhone angezeigt wird.

        Muss ich mich mal im Developer Zugang wieder etwas einlesen. Danke :-)

  • Trotz der neuen Verschlüsselung traue ich dem Braten nicht. Außerdem verwende ich iMessage doch lieber.

    • Wenn du Anhänge oder evtl. auch lange Texte in iMessage verschickst, ist es nicht mehr Ende-zu-Ende verschlüsselt. Allerdings wird Ende-zu-Ende-verschlüsselt der symmetrische Schlüssel an den agesprächspartner verschickt. Hoffentlich ist die symmetrische Verschlüsselung gut und sicher genug. Ob iMessage sehr sicher ist, ist fraglich. Ich hoffe, es ist sicherer als WhatsApp. Allerdings haben beide die schlechte Eigenschaft, dass sie die Metadaten nicht verstecken, was für diese drei Buchstabenorganisationen oft mehr interessiert. Signal und potentiell Threema verschleiern die Metadaten besser ode evtl. sogar vollständig. Genau weiß ich das leider nicht.

  • Erstaunlich wenig kritische Reaktionen auf den Artikel! Hat die Hexe euch also endlich alle in ihr Pfefferkuchenhaus locken können…

  • Aber wehe jemand legt dich ein neues Handy zu und dazu einen neuen Vertrag und operiert die Nummer nicht. Der schaut dann nämlich in die Röhre.
    Aber gut, irgendeinen Sicherheitsmechanismus brauchts und den Schritt finde ich top!
    Wäre schön wenn sich Threema mal auf so ein Feature – verschlüsseltes Backup in der iCloud – einlassen würde……..

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 21110 Artikel in den vergangenen 3641 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2017 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven