WhatsApp und der falsche Kanarienvogel

Seit Tagen machen Tweets die Runde, in denen behauptet wird, dass die Ende-zu-Ende-Verschlüsselung von WhatsApp gebrochen sei, weil ein „Canary“ tot sei. Doch diese Behauptung basiert auf ein paar grundlegenden Missverständnissen.

Worum geht es?

Dieser Tweet kursiert in meiner Tech-Timeline: „Uh-oh. WhatsApp’s canary just died; they removed the statement that they never have access to your private keys. If you were using it because of its privacy, it’s time to find something else.“

Tweet

Konkreter geht es um diese Grafik, die zeigt, wie sich die technische Dokumentation von WhatsApp geändert hat. Der Satz „At no time does the WhatsApp server have access to any of the client’s private keys“ wurde gestrichen. Die Schlussfolgerung: Weil in der Doku nicht mehr steht, dass die privaten Verschlüsselungscodes niemals übertragen werden, werden sie nun routinemäßig übertragen und damit wird die Verschlüsselung der Chats aufgehoben.

Was hat es mit dem „Canary“ auf sich? Nun: In den USA gibt es die Möglichkeit, einen Anbieter von Kommunikationslösungen zur Zusammenarbeit mit den Behörden zu zwingen, ohne dass dieser davon reden darf. Eine Umgehungsmaßnahme: Die Anbieter besonders sicherer Kommunikationslösungen dokumentieren öffentlich, dass sie nicht unter einer solchen Anordnung stehen. Wenn dies plötzlich nicht mehr der Fall ist, dann wird die entsprechende Versicherung gelöscht. Damit ist klar, dass etwas vorgeht — auch wenn der Betroffene nicht darüber reden darf. Die Analogie ist die eines Kanarienvogels, der von Bergarbeiter mit unter Tage genommen wurde. Die Idee: Wenn der Vogel stirbt, ist die Luft sehr ungesund und die Menschen sollten sich schnell retten.

Das klingt einigermaßen plausibel — bis man anfängt tatsächlich nachzudenken und die Dokumentation von WhatsApp selbst nachliest. Es stellt sich heraus, dass nicht nur ein Satz entfernt wurde, sondern dass es diverse andere Änderungen gibt. Darunter unter anderem diese Versicherung:

Encryption Has No Off Switch All chats use the same Signal protocol outlined in this whitepaper, regardless of their end-to-end encryption status. The WhatsApp server has no access to the client’s private keys, though if a business user delegates operation of their Business API client to a vendor, that vendor will have access to their private keys - including if that vendor is Facebook.When chatting with an organization that uses the Business API, WhatsApp determines the end-to-end encryption status based only on the organization’s choice of who operates its endpoint.The encryption status of an end-to-end encrypted chat cannot change without the change being visible to the user.

Da steht der vermisste Satz wieder:

The WhatsApp server has no access to the client’s private keys…

Danach geht es aber noch weiter. Die Doku beschreibt einen konkreten Fall, wo private Schlüssel an die Facebook/WhatsApp-Server übertragen werden. Facebook würde gerne WhatsApp monetarisieren, indem der Konzern eine Art Call-Center-Service für Geschäftskunden aufbaut.

Lange Rede, kurzer Sinn: Wenn ein Kunde — wie zum Beispiel Coca-Cola — eine Kundenhotline per WhatsApp anbieten will, könnten Gespräche einfach über Call-Center weltweit geleitet werden, was bei einer angeschalteten Ende-zu-Ende-Verschlüsselung nicht möglich wäre. Vermutlich kippt Facebook über den eigenen Service noch eine gute Portion AI aus, so dass die meisten Anfragen per Automatismus beantwortet werden. Dafür muss aber Facebook diese Nachrichten lesen können und dies ist, was das technische Dokument beschreibt.

Sprich: Dieses Dokument gibt keinerlei Hinweis darauf, dass die Verschlüsselung von Privatnachrichten kompromittiert wäre. Nutzer sollten sich aber bewusst sein, dass nicht alle WhatsApp-Nachrichten verschlüsselt sind, insbesondere nicht Nachrichten zu Firmen-Hotlines. WhatsApp verspricht den Verschlüsselungs-Status einer Nachricht genau anzuzeigen.

Wer WhatsApp wegen der Privatsphäre nutzt, hat übrigens durchaus berechtigte Gründe, nun über einen Wechsel nachzudenken. Denn Facebook sichert sich grade den Zugriff auf die Metadaten — also ziemlich alles außer den verschlüsselten Inhalten. Auch wenn europäische Nutzer davon zunächst nicht betroffen sind, ist WhatsApp derzeit kein Produkt, das Datenschützer-Herzen höher schlagen lässt.