München, 02. März 2017 – Die Einführung der Ende-zu-Ende-Verschlüsselung wurde von WhatsApp-Nutzern und Datenschützern sehr begrüßt. Dass es hierbei aber dennoch zu erheblichen Sicherheitsproblemen kommt, haben nun Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC herausgefunden. Betroffen sind vor allem Android-Nutzer. Auf Android-Geräten sind Mediendateien wie Bilder, Dokumente und Sprachnachrichten, die per WhatsApp versandt und empfangen werden, unzureichend geschützt. Die Ursache dafür ist, dass die Daten lediglich für die Übertragung von einem Gerät auf das andere verschlüsselt werden. Beim Empfänger werden die Daten entschlüsselt und in einem ungeschützten Bereich auf dem Gerät gespeichert, sodass Apps darauf zugreifen und die Daten beispielsweise an andere Geräte weitergeleitet werden können. Dies stellt ein enormes Sicherheitsproblem für die Daten der Nutzer dar.

Mit über eine Milliarde Nutzern ist WhatsApp der populärste Messenger weltweit. Über die Smartphone-App verschicken Nutzer Bilder, Dokumente, Videos und Sprachnachrichten schnell und kostenfrei. Doch was, wenn die versandten Daten nicht nur an die ausgewählten Freunde und Familienmitglieder gehen, sondern auch nicht vertrauenswürdige Apps darauf zugreifen können? Während über WhatsApp gesendete Textnachrichten verschlüsselt auf der SD-Karte gespeichert werden, gilt dieser Schutz nicht in gleichem Maß für Bilder, Videos, Sprachnachrichten und Dokumente: WhatsApp für Android speichert sowohl empfangene, als auch gesendete Mediendaten unverschlüsselt auf der SD-Karte und zwar in einem ungeschützten Bereich. „Das Problem ist, dass Daten auf der SD-Karte auch für andere Apps zugänglich sind. Jede App, die Zugriff auf die SD-Karte hat, kann alle dort gespeicherten Mediendaten auslesen, löschen oder manipulieren.“, so Dr. Julian Schütte, Abteilungsleiter Service & Application Security am Fraunhofer AISEC. „Unter diesen Umständen ist WhatsApp als Kommunikationsdienst für den Einsatz im Unternehmensumfeld problematisch, weil das Sicherheitsrisiko ohne den Einsatz weiterer Schutzmaßnahmen zu groß ist“, so Schütte weiter.

Sichere Lösung technisch möglich

Aus Sicht der Mobile Security-Experten um Dr. Schütte wäre eine sichere Lösung dieses Problems technisch einfach umzusetzen: Durch eine Verschlüsselung der Mediendaten auf der SD-Karte oder das Speichern der Mediendaten im geschützten Bereich der WhatsApp-Anwendung. So könnten die Nutzerdaten gegen Auslesen und Modifikation geschützt werden. Derzeit kann jede App mit der Berechtigung „READ_EXTERNAL_STORAGE“ die vom WhatsApp Messenger auf der SD-Karte gespeicherten Mediendaten auslesen und z.B. an einen Server versenden. Erhält die App zudem noch die Berechtigung „WRITE_EXTERNAL_STORAGE“, kann sie die Mediendaten sogar manipulieren, noch bevor der Benutzer diese öffnet. Um dies zu verdeutlichen, haben die Sicherheitsforscher mittels einer einfachen App empfangene Bilder auf dem Android-Gerät noch vor dem Öffnen durch den Empfänger gezielt manipuliert. „Mediendaten und Dokumente, die über WhatsApp empfangen werden, sind weder vertraulich noch vertrauenswürdig. Man muss davon ausgehen, dass andere Apps sie auslesen und versenden können oder unbemerkt ihre Inhalte verändern“, so Dr. Julian Schütte vom AISEC. (Link zum Video)

Über 70% der Apps haben Zugriff auf WhatsApp-Mediendaten

Die AISEC-Forscher analysierten mehr als 16.000 der beliebtesten Apps im Google Play Store und stellten fest, dass ein Großteil über die Berechtigung verfügt, auf den ungeschützten Speicher zuzugreifen, der von WhatsApp genutzt wird. Vor allem Backup- oder „Cleaner“-Tools greifen explizit auf die WhatsApp-Mediendaten zu. Was diese Apps jedoch genau mit den WhatsApp-Daten machen, wurde bislang nicht weiter untersucht. Von 16.764 untersuchten Apps aus dem Play-Store haben 71 % (11.914 Apps) die Berechtigung „READ_EXTERNAL_STORAGE“ und 69,8 % (11.696 Apps) haben die Berechtigung „WRITE_EXTERNAL_STORAGE“.

Vom WhatsApp-Einsatz auf Android-Geräten raten die Forscher dennoch nicht grundsätzlich ab, weisen aber auf einen vorsichtigen Umgang im Unternehmenskontext hin: „Es ist wichtig zu verstehen, dass eine verschlüsselte Verbindung allein noch keine Sicherheit garantiert, wenn die Daten auf dem Endgerät ungeschützt sind“, erklärt Experte Schütte.