Zu steif, zu locker, zu viele Rechtschreibfehler oder aber einfach Probleme, sich auszudrücken: Auch beim eigentlich eher informellen Gespräch bei Whatsapp tun sich viele Menschen schwer. Die neue Schreibhilfe soll uns deshalb unter die Arme greifen. Nun haben sich Sicherheitsforscher im Auftrag von Whatsapp die Umsetzung angeschaut – und stießen erhebliche Schwachstellen.
Dabei hat sich Whatsapp eigentlich viel Mühe gegeben. Die KI-gestützte Schreibhilfe wäre mit herkömmlichen Methoden nämlich eigentlich nicht umsetzbar: Weil die Chats verschlüsselt sind, kann man die Chats nicht einfach auf den Servern auswerten, wie es etwa bei ChatGPT funktioniert. Andererseits ist die KI zu ressourcenhungrig, um direkt auf dem Smartphone zu laufen. Mit dem sogenannten "Private Processing" hat Whatsapp deshalb eine Mischung aus beidem entwickelt, bei der die Nachrichten auf den Servern verarbeitet werden, ohne die Verschlüsselung aushebeln zu müssen. Doch das ist offenbar leider nicht so sicher, wie man es sich wünschen würde.
Meinung Es reicht! Warum ich kurz davor bin, unserer Tochter Whatsapp zu verbieten
Whatsapp-Schreibhilfe: 49 teils kritische Lücken
Ganze 49 Lücken entdeckten die beiden von Meta beauftragten Experten der NCC Group und von Trail of Bits bei ihren als Audits bezeichneten Untersuchungen des Programmcodes. Die Lücken sind teilweise schwerwiegend. So betont Meta, dass die Nachrichten erst einen Anonymisierungsprozess durchlaufen, damit auch Meta selbst sie nicht zuordnen kann. Beide Untersuchungen entdeckten aber unabhängig voneinander, dass die dafür genutzten Schlüssel zu Anfang direkt über Metas Server liefen – und der Konzern durchaus die Möglichkeit hatte, die Nachrichten konkreten Personen zuzuordnen.
Weitere eklatante Mängel gab es etwa bei den Vorgaben für die zu nutzende Software und Hardware. So stellten beide Untersuchungen fest, dass kein Mechanismus vorhanden ist, der Nutzer zwingt, auf eine aktuelle Version umzusteigen. Angreifer könnten deshalb auch nach dem Schließen von Lücken einfach weiter ältere Versionen verwenden – und die Lücken so weiter nutzen. Auf Hardware-Seite verzichtete Meta laut Trail of Bits darauf, die Anwendung auf bestimmte Prozessoren zu beschränken, die Meta kontrollieren könnte. Angreifer könnten deshalb mit anderen Chips einen entsprechenden Server vorgaukeln. Zusätzlich gab es gleich mehrere Lücken, über die bösartiger Programmcode hätte eingeschleust werden können.
Meta hat laut den beiden Testern reagiert und die meisten Lücken bereits vor dem Erscheinen des Features geschlossen.
Klare Warnung
Dass nun beide trotzdem vor der Nutzung warnen, sollte Meta – und natürlich auch den Nutzern – allerdings zu denken geben. Am Ende gehe es um Vertrauen, mahnen beide Tester. Die Nutzer müssten sich darauf verlassen, dass Meta nicht heimlich mit seinen Cloudpartnern wie Fastly oder Cloudflare zusammenarbeitet, um doch die Anonymität aushebeln zu können. Zudem gibt es trotz der Überprüfungen Teile des Systems, die nicht einsehbar sind. Auch hier könnten Hintertüren eingebaut werden.
Beide Unternehmen haben deshalb eine klare Forderung an Meta – nämlich die Systeme völlig transparent zu machen. Bis das passiert, muss man mit dem Gedanken leben können, dass die eigenen Chats vielleicht doch mitgelesen werden können. Oder man verzichtet einfach auf das Feature. Wer das tun will, muss dafür nicht einmal etwas unternehmen: Private Processing ist standardmäßig deaktiviert – und muss in den Einstellungen aktiv eingeschaltet werden.
Quellen: NCC Group, Trail of Bits
- Nachrichten
- Hardware
- ChatGPT
Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke
