Jabber

Jan. 20, 2017

WhatsApp Lücke, Alternativen und Unabhängigkeit

Momentan gibt es Aufregung um eine Sicherheitslücke in Whatsapp, die vielleicht auch gar keine ist. Während viele zum Wechsel auf verschiedene andere Messenger raten, gibt es jetzt einige Stimmen, welche die "Panikmache" als kontraproduktiv betrachten weil sie befürchten, dass die Nutzer auf weniger sichere Apps wechseln könnten. Das ist insofern ungünstig, da WhatsApp mit der Lücke ebenfalls als unsicher angesehen werden muss.

Dazu hier nun eine Einschätzung des Fehlers, warum es allgemein sinnvoll ist von Whatsapp weg zu kommen, was andere Kryptomessenger taugen und schließlich eine Empfehlung für eine bessere Alternative.

(Für die Eiligen: Die Empfehlung ist der Wechsel auf XMPP mit Conversations auf Android, ChatSecure auf dem iPhone und gajim auf dem PC).

Was ist der Whatsapp Bug und was bedeutet das für die Sicherheit?

Der WhatsApp Bug, großspurig auch Backdoor genannt, besteht darin, dass WhatsApp es schwer macht zu bemerken, wenn sich jemand unerlaubt in die Verbindung einklinkt. In der Standardeinstellung bekommt man in einem solchem Fall keine Nachricht. Wenn in den Einstellungen "Sicherheits-Benachrichtigungen anzeigen" aktiviert ist, gibt es einen eher unscheinbaren Hinweis "Die Sicherheitsnummer von X hat sich geändert". Dazu kommt, dass Nachrichten, die man geschrieben hat während das Handy keinen Empfang hatte, gesendet werden bevor man überhaupt die Chance hat diese Benachrichtigung zu sehen.

Um die Gefahr kurz einzuordnen: Wenn sich die "Sicherheitsnummer" einer Webseite ändert zeigt ein Webbrowser die Seite gar nicht mehr an, sondern nur eine seitenfüllende Warnung, dass man wahrscheinlich auf einer Betrüger-Webseite ist.
Whatsapp zeigt in der Situation einen Hinweis an, der völlig harmlos scheint, tatsächlich aber bedeutet dass ab jetzt eventuell jemand mitliest.


Die WhatsApp Sicherheitswarnung: Ab jetzt liest eventuell jemand mit

Wer kann die Lücke ausnutzen?

Wie die meisten Messenger ist die Whatsapp-Verbindung selber sowieso dagegen geschützt, dass jemand nur durch Anzapfen der Leitung mitelesen kann. Eine Ende-zu-Ende Verschlüsslung, soll weiterhin sicherstellen, dass auch der Betreiber nicht mitlesen kann. Genau dabei sorgt das Verhalten von WhatsApp aber dafür, dass es in der Praxis möglich ist, dass Facebook als Anbieter von WhatsApp mitliest. Das entsprechende Szenario sieht wie folgt aus:

WhatsApp möchte selber mitlesen oder bekommt von einer Regierung die Verpflichtung Daten abzufangen, was sie nicht ablehnen können und niemandem mitteilen dürfen. Daraufhin erstellt sich WhatsApp selber einen Account und teilt dem Nutzer und seinem Gesprächspartner jeweils mit, dass die Sicherheitsnummer des Fakeaccounts, die des jeweils anderen wäre, welche sich geändert hat. Wenn die Nutzer jetzt schreiben, erreichen die Nachrichten den falschen Account. Das fällt aber nicht auf, da dieser sie nicht nur mitliest, sondern auch direkt an den richtigen Account weiterleitet.

Das Statement von Whatsapp zu dem Problem ist, dass es kein Fehler sei, sondern eine Vereinfachung für Nutzer um sie nicht damit zu überfordern, dass sie prüfen müssen ob sich die Sicherheitsnummer geändert hat weil der Gesprächspartner ein neues Handy hat oder weil jemand die Verbindung unterbricht um mitzulesen.

Nicht zuletzt ist noch zu erwähnen, dass WhatsApp seinen Quelltext geheim hält und damit sowieso niemand sicher sagen kann, ob es nicht einen geheimen "Schick mir alle Chats des Nutzers" Befehl gibt. Eine echte Sicherheit hat man hier nur bei Programmen, die ihren vollen Code zur Verfügung stellen.

Was kann ich tun um mich bei WhatsApp zu schützen?

Das Wichtigte ist in den Einstellungen zu aktivieren, dass man benachrichtigt wird, wenn sich die Sicherheitsnummer des Gesprächspartners ändert. Wenn man dann diese Meldung erhält, dann darf man sie nicht ignorieren, sondern muss die Verbindung als unsicher einstufen, bis man die Nummer des anderen neu bestätigt hat.

Um zu vermeiden, dass Nachrichten geschickt werden bevor man sieht, dass sich die Nummer geändert hat kann man darauf achten nur dann Nachrichten zu schicken, wenn das Handy eine Internetverbindung hat. Hier geht es aber tatsächlich nur um die Nachrichten die zwischen Verlust des Empfangs und dem Sehen der Sicherheitswarnung nachdem der Empfang wieder vorhanden ist geschrieben wurden.

Andere Messenger die häufig empfohlen werden

Hier kurz ein paar Worte zu anderen Messengern, die häufig als Alternative empfohlen werden.

Threema
Das Konzept des Messengers ist gut: Mit einem Ampel-System wird angezeigt wie genau man die Sicherheitsnummer seiner Kontakte schon geprüft hat und es existiert kein Zwang den Chataccount mit der Telefonnummer zu verknüpfen. Die benutzte Verschlüssung hat offenen Quellcode, aber der Rest des Programms ist nicht offen.
Signal
Signal hat einen komplett offenen Quellcode, funktioniert aber nicht ohne nicht offene Dienste von Google bzw. Apple. Das kann für Backdoors ausgenutzt werden. Versionen die das Problem beseitigen sind von den Entwicklern nicht erwünscht.
Telegram
Telegram hat seine Verschlüsslungsfunktionen mit fragwürdiger Qualität selber gebaut und es wurde auch schon mehrfach gezeigt, dass sie unsicher sind.

Trotzdem haben alle drei und auch die meisten anderen Alternativen das Problem, dass sie von einem Anbieter abhängig sind.

Abhängigkeit vom Anbieter

Was in der Diskussion um den Lieblingsmessenger sehr häufig untergeht ist, dass die meisten Apps von einem einzelnen Anbieter abhängig sind.

Wenn Whatsapp seine Verschlüsslung wieder abschafft hat man keine Möglichkeit, außer es zu akzeptieren oder alle Kontakte zu überzeugen mit zu einer anderen App umzuziehen. Wenn Signal plötzlich eine viel zu hohe monatliche Gebühr haben möchte, wird man wohl oder übel zahlen müssen. Wenn Telegram aufhört ihren Server anzubieten ist man von heute auf morgen nicht mehr erreichbar.

Die Probleme betreffen nicht nur die drei Apps, sondern fast alle Messenger. Daher braucht es eine dezentrale Lösung, die nicht von einer einzelnen Firma abhängig ist.

Dezentral heißt, dass es wie E-Mail funktioniert. Von einer Googlemail-Adresse aus lassen sich GMX-Nutzer erreichen und wenn GMX zu macht muss jemand der seine Adresse bei posteo hat nur die neuen Adressen seiner Kontakte bei GMX erfahren und nicht das ganze Adressbuch abklappern.

Für einen Messenger heißt das:

  • Unabhängigkeit von einem Anbieter. Es gibt mehr als einen Service den man mit der gleichen App nutzen kann.
  • Unabhängigkeit von den Anbietern anderer. Jeder kann sich einen Dienst aussuchen und Leute bei anderen Diensten erreichen.
  • Unabhängigkeit von einem Programm. Jeder kann sich ein Programm aussuchen mit dem er chattet ohne dass andere das gleiche benutzen müssen.

Für die Technikbegeisterten kommt noch der Punkt dazu, dass sie die Möglichkeit haben für sich und ihre Freunde selber einen solchen Dienst zu betreiben und in den Quelltext von den Programmen, Apps und auch Serverdiensten reinsehen zu können.

Die Empfehlung: Jabber (XMPP)

Eine solches Chatsystem gibt es schon und es existiert sogar länger als WhatsApp schon: Jabber.

XMPP ist dabei das verwendete "Protokoll", also die Art wie verschiedene Jabberprogramme miteinander Nachrichten austauschen.

Unabhängigkeit vom Anbieter: Es gibt eine lange Liste von kostenlos nutzbaren XMPP Servern. Dazu gibt es auch eine Liste, welche optionalen Funktionen von welchem Anbieter unterstützt werden. Technikfreaks können selber einen betreiben.

Unabhängigkeit von den Anbietern anderer: Eine XMPP-Adresse sieht aus wie eine E-Mailadresse und enthält damit den Anbieter hinter dem @ Zeichen, sodass man ihn nicht getrennt mitteilen muss. Einfach die Adresse zur Kontaktliste hinzufügen und loschatten.

Unabhängigkeit von einem Programm: Es gibt viele verschiedene XMPP Programme und Apps. Jedes davon kann mit allen anderen chatten, ohne dass man überhaupt wissen muss, welche App die anderen benutzen.

Die Programme und Apps dazu

Zunächst muss man sich einen Server aussuchen aus einer der Listen (oder durch eigene Suche oder Empfehlung von jemand anders):

Kriterien können dabei sein:

  • Der Servername, der Teil der Adresse wird als meinnickname@servername,
  • die Sicherheit (siehe insbesondere den ersten Link),
  • die unterstützten zusätzlichen Funktionn (siehe zweiter Link)
  • und ob der Nickname auf dem ausgesuchten Server noch nicht vergeben ist.

In den meisten Programmen wird bei der Einrichtung gefragt ob man einen Account anlegen will und man kann sich eine Adresse meinnickname@servername einfach ausdenken, wobei servername die Adresse von einem der Anbieter aus den Listen ist. Ist die Adresse schon vergeben, bekommt man eine Meldung und kann sich eine andere aussuchen.

Nach dem Server muss man sich ein Programm aussuchen. Wie erwähnt gibt es viele Programme und Apps aus denen man sich eine aussuchen kann. Es lohnt sich auch sich verschiedene Apps anzusehen, welche einem am besten gefällt.

Bei der Auswahl der Programme sollte man darauf achten, dass diese auch Verschlüsslung unterstützen. Das erkennt man an den Funktionen "OMEMO" oder "OTR", wobei OMEMO die bessere Technik ist.

Hier sind meine Empfehlungen:

Für Android ist Conversations eine sehr gute App.

Auf dem PC ist gajim zu empfehlen. Hier muss "OMEMO" noch in der Liste der Plugins aktiviert werden.

Für iPhone oder iPad empfehle ich ChatSecure, was seit kurzem auch OMEMO kann und damit eine moderne Verschlüsslung hat.

Hinweis: Bei der Einrichtung von Conversations wird einem vorgeschlagen, ob man den Dienst conversations.im benutzen möchte. Dieser kostet nach den ersten 6 Monaten 8 Euro pro Jahr, hat dafür aber auch Unterstützung für alle optionalen Funktionen. Wer einen kostenlosen Dienst möchte kann beim Einrichten selber einen Server aus den Listen oben angeben, statt den vorgeschlagenen conversations.im Server zu verwenden.

Anmerkungen, Anregungen, Kommentare?

Ich habe im Text an einigen Stellen absichtlich die von Whatsapp vereinfachten Bezeichnungen für ein paar Dinge benutzt, damit der Text für Nutzer von WhatsApp verständlicher wird. Ich bitte die Technikfreaks das zu entschuldigen ;-).

Ergänzungen willkommen, die E-Mailadresse steht rechts in der Seitenleiste. Ich werde den Artikel ggf. noch noch um weitere Dinge zum Whatsapp-Problem erweitern, aber die wichtigste Empfehlung bleibt:

Nutzt XMPP, denn es ist eins der wenigen Chatsysteme bei denen ihr euch nicht von einem Anbieter abhängig macht.

Kategorien Software Datenschutz Sicherheit OpenSource Verschlüsslung
Tagged gajim chatSecure Conversations WhatsApp XMPP Jabber Telegram Threema Signal SignalApp Sicherheitslücke Backdoor Bug
Mobil qrcode zeigen

0 Kommentare

Juni 8, 2013

Links (90)

Kategorien Links
Tagged GeoGuessr Eric Schmidt don't be evil Google Regel Hangouts Jabber XMPP S2S Federation Interop Adblocker Number Theory Streetview Clippy JavaScript uncomplicated Web Woman Programmer Google Reader Duckduckgo ddg Merge Python Geek Nerd Nix zu verbergen Google Talk
Mobil qrcode zeigen

0 Kommentare

Jan. 19, 2008

ICQ per Jabber

AOL hat einen Jabber-Server, via dem man ICQ-User erreichen kann unter xmpp.oscar.aol.com (nummer@aol.com) eröffnet. Momentan ist der Server nicht erreichbar, aber demnächst kann man dann ICQ-Kontakte erreichen ohne das ICQ-Protokoll benutzen zu müssen.

Server: xmpp.oscar.aol.com Port: 5222 TLS: angeschaltet User: icq-uin@aol.com

Im Originalblog-Eintrag hat ein AOL-Mitarbeiter bereits angekündigt, dass es demnächst eine offizielle Ankündigung von AOL geben wird.

Wenn Server-to-Server auch aktiviert wird, kann man sich langsam aber sicher von proprietären Protokollen verabschieden. Zumindest in Deutschland hat ICQ den höchsten Marktanteil, anders als in Amerika, wo wohl MSN einen höheren Anteil hat.

Kategorien Allgemeines Software
Tagged Jabber ICQ XMPP Gateway
Mobil qrcode zeigen

0 Kommentare

Nov. 12, 2007

Opfer der Vorratsdatenspeicherung

amessage.de:
Ich muss nun für mich klären, in wie weit ich den amessage-Dienst ab 2009 weiter betreibe(n kann) und unter welchen Vorraussetzungen. Die Möglichkeiten reichen von Einstellung des Dienstes über Weiterbetrieb mit implementierter Verbindungsdatenspeicherung (das heißt es würde gespeichert wann wer wem eine Nachricht geschickt hat, jedoch nicht was in der Nachricht stand) bis zum Übergabe des Servers an einen Betreiber außerhalb der EU.
Und darunter die Empfehlung sich nach Alterantiven im Ausland umzusehen. Dass amessage.de quasi für die Konkurrenz wirbt, zeigt dass sie es mit dem Datenschutz ernstnehmen.

Schon etwas älter: Google droht mit Schließung von Mail-Dienst in Deutschland

Google hat mit der Schließung seines E-Mail-Dienstes Google Mail in Deutschland gedroht, sollte die Bundesregierung an ihrer umstrittenenen Gesetzesinitiative zur Überwachung des Telekommunikations- und Internetverkehrs festhalten. [...]
TOR-Server durch Vorratsdatenspeicherung von Schließung bedroht
Experten erwarten durch die Neuregelung der Telekommunikationsüberwachung gravierende Auswirkungen auf Anonymisierungsdienste. "180 von 200 deutschen TOR-Servern gehen offline", kündigte Karsten Neß an, der einen TOR-Server für die German Privacy Foundation betreibt.
[UPDATE] Kommunikationsstörungen durch die Vorratsdatenspeicherung beklagt Hier sucht noch jemand Betroffene: Vorratsdatenspeicherung: Journalistenverband sucht Betroffene.

Kategorien Politik Überwachung Sicherheit Datenschutz
Tagged Tor Google Jabber amessage.de Gmail Opfer Vorratsdatenspeicherung
Mobil qrcode zeigen

2 Kommentare