WhatsApp hat letztes Jahr eine wichtige Sicherheitslücke geschlossen, indem es die in iCloud gespeicherten Chat-Backups der Benutzer verschlüsselt hat. Vor der Änderung konnten Hacker theoretisch mithilfe von forensischen Tools von Drittanbietern auf WhatsApp-Chat-Archive in iCloud zugreifen, um auf zugrunde liegende Nachrichten in lesbarer Form zuzugreifen.
Anstatt sich beim Schutz der Kundendaten auf iCloud Drive zu verlassen, hat das Unternehmen im Besitz von Facebook einen eindeutigen Verschlüsselungsschlüssel hinzugefügt, der von der WhatsApp-App erstellt wurde.
Ein Sprecher bestätigte, dass iCloud-Sicherungen jetzt verschlüsselt werden, und sagte Forbes: „Wenn ein Benutzer seine Chats über WhatsApp in iCloud sichert, werden die Sicherungsdateien verschlüsselt gesendet.“
Obwohl Apple die Verschlüsselungsschlüssel für iCloud besitzt, ist es Sache der App-Hersteller, beim Senden von Benutzerdaten an iCloud die Verschlüsselung zu verwenden. Laut TechCrunch konnte ein russisches Unternehmen namens Oxygen Forensics, das mobile und Cloud-Hacking-Tools anbietet, Verschlüsselungsschlüssel für WhatsApps iCloud-Backups generieren.
Die Problemumgehung erfordert, dass ein Angreifer Zugriff auf eine SIM-Karte mit derselben Handynummer hat, mit der die App einen Bestätigungscode zum Generieren des Verschlüsselungsschlüssels für die iCloud-Sicherung sendet. Natürlich benötigt Oxygen immer noch die Apple-ID und das Kennwort eines Benutzers, um überhaupt auf den iCloud-Benutzerbereich zugreifen zu können.
„Anschließend kann Oxygen mithilfe der zugehörigen SIM-Karte den Verschlüsselungsschlüssel zum Entschlüsseln der Daten generieren, indem der Überprüfungsprozess erneut durchlaufen wird“, erklärt TechCrunch. Forbes schlägt vor, dass die Methode von der Polizei angewendet werden könnte, die im Besitz eines Geräts ist, auf dem der WhatsApp-Account gelöscht wurde, iCloud-Backups jedoch nicht gelöscht wurden.
WhatsApp verschlüsselt iCloud-Backups jetzt mit einem Schlüssel, den sie für Sie speichern. Ordentlich, aber besteht den Schlammpfützen-Test nicht. https://t.co/tkhTParp2K https://t.co/qdAaBVxzyT
- Filippo Valsorda (@FiloSottile) 8. Mai 2017
Mit anderen Worten, nachdem WhatsApp erkannt hat, dass mit forensischen Tools verschlüsselte WhatsApp-Daten aus iCloud-Sicherungen in lesbarer Form heruntergeladen werden können, hat WhatsApp im vergangenen Jahr die Sicherheit verbessert und die Verschlüsselung für iCloud-Sicherungen leise eingeführt.
Sie können Ihr gesamtes WhatsApp-Chat-Archiv in iCloud sichern, indem Sie auf tippen die Einstellungen Tab in der unteren rechten Ecke der App. Tippen Sie jetzt auf Chats, dann Chat-Sicherung und endlich getroffen Jetzt sichern.
Übrigens sollte WhatsApp den Wortlaut des Chat-Backup-Bildschirms aktualisieren, da er etwas verwirrend besagt, dass "Medien und Nachrichten, die Sie sichern, in iCloud nicht durch WhatsApp-End-to-End-Verschlüsselung geschützt sind."