Diese unbekannte WhatsApp-Sicherheitslücke ermöglicht es Regierungen, zu sehen, wem Sie Nachrichten senden

Ingenieure warnten Meta, dass Nationen Chats überwachen könnten; Die Mitarbeiter befürchten, dass Israel diesen Trick nutzt, um Attentatsziele in Gaza auszuwählen.

Ein The Intercept Artikel von Sam Bidle, 22, Mai 2024, für Dich hier komplett überbesetzt.

Quelle: https://theintercept.com/2024/05/22/whatsapp-security-vulnerability-meta-israel-palestine/

Im März gab das Sicherheitsteam von WhatsApp eine interne Warnung an seine Kollegen heraus: Trotz der leistungsstarken Verschlüsselung der Software blieben die Nutzer/innen anfällig für eine gefährliche Form der staatlichen Überwachung. Laut der bisher unveröffentlichten Bedrohungsanalyse, die The Intercept vorliegt, sind die Inhalte der Unterhaltungen zwischen den 2 Milliarden Nutzern der App weiterhin sicher. Aber Regierungsbehörden, so schrieben die Ingenieure, “umgehen unsere Verschlüsselung”, um herauszufinden, welche Nutzer miteinander kommunizieren, wie viele Mitglieder in privaten Gruppen sind und vielleicht sogar, wo sie sich befinden.

Die Sicherheitslücke basiert auf der „Verkehrsanalyse“, einer jahrzehntealten Netzwerküberwachungstechnik, und beruht auf der Erhebung des Internetverkehrs auf massiver nationaler Ebene. Das Dokument macht deutlich, dass WhatsApp nicht die einzige anfällige Messaging-Plattform ist . Aber es zeigt, dass WhatsApp-Eigentümer Meta schnell entscheiden muss, ob er der Funktionalität seiner Chat-App Vorrang einräumt oder der Sicherheit eines kleinen, aber gefährdeten Teils seiner Benutzer.

„WhatsApp sollte die anhaltende Ausnutzung von Schwachstellen bei der Verkehrsanalyse eindämmen, die es den Nationalstaaten ermöglichen, zu bestimmen, wer mit wem spricht“, forderte die Einschätzung. „Unsere gefährdeten Benutzer benötigen robuste und praktikable Schutzmaßnahmen gegen Verkehrsanalysen.“

Vor dem Hintergrund des anhaltenden Krieges gegen Gaza warf die Bedrohungswarnung bei einigen Mitarbeitern von Meta eine beunruhigende Möglichkeit auf. WhatsApp-Mitarbeiter haben spekuliert, dass Israel diese Schwachstelle als Teil seines Programms zur Überwachung der Palästinenser ausnutzen könnte, zu einer Zeit, in der die digitale Überwachung dabei hilft, zu entscheiden, wer im Gazastreifen getötet werden soll , sagten vier Mitarbeiter gegenüber The Intercept.

„WhatsApp hat keine Hintertüren und wir haben keine Hinweise auf Schwachstellen in der Funktionsweise von WhatsApp“, sagte Meta-Sprecherin Christina LoNigro.

Obwohl die Bewertung die „Schwachstellen“ als „anhaltend“ beschreibt und WhatsApp 17 Mal ausdrücklich erwähnt, sagte LoNigro, dass das Dokument „keine Widerspiegelung einer Schwachstelle in WhatsApp“ sei, nur „theoretisch“ und nicht nur für WhatsApp gilt. Auf die Frage, ob das Unternehmen untersucht habe, ob Israel diese Sicherheitslücke ausnutze, antwortete LoNigro nicht.

Auch wenn der Inhalt von WhatsApp-Kommunikationen unlesbar ist, zeigt die Bewertung, wie Regierungen ihren Zugang zur Internet-Infrastruktur nutzen können, um zu überwachen, wann und wo verschlüsselte Kommunikation stattfindet, etwa indem sie einen Postboten beobachten, der einen versiegelten Umschlag befördert. Dieser Einblick in den nationalen Internetverkehr reicht aus, um aussagekräftige Rückschlüsse darauf zu ziehen, welche Personen sich miteinander unterhalten, auch wenn die Themen ihrer Gespräche ein Rätsel bleiben. „Selbst wenn man davon ausgeht, dass die Verschlüsselung von WhatsApp unknackbar ist“, heißt es in der Einschätzung, „würden anhaltende ‚Collect-and-Correlate‘-Angriffe immer noch unser beabsichtigtes Datenschutzmodell zerstören.“

Die WhatsApp-Bedrohungsbewertung beschreibt keine konkreten Fälle, in denen sie weiß, dass diese Methode von staatlichen Akteuren eingesetzt wurde. Aber es zitiert ausführliche Berichte der New York Times und von Amnesty International, die zeigen, wie Länder auf der ganzen Welt die Nutzung verschlüsselter Chat-Apps von Dissidenten, einschließlich WhatsApp, mit denselben Techniken ausspionieren.

Da der Krieg zunehmend computerisiert wird, haben Metadaten – Informationen darüber, wer, wann und wo Gespräche geführt werden – für Geheimdienste, Militär und Polizeibehörden auf der ganzen Welt einen enormen Wert erlangt. „Wir töten Menschen auf der Grundlage von Metadaten“, witzelte einmal .

Aber selbst unbegründete Analysen von Metadaten können tödlich sein, sagt Matthew Green, Professor für Kryptographie an der Johns Hopkins University. „Diese Metadatenkorrelationen sind genau das: Korrelationen. Ihre Genauigkeit kann sehr gut oder auch nur gut sein. Sie können aber auch mittelmäßig sein“, sagte Green. „Es liegt in der Natur dieser Systeme, dass sie unschuldige Menschen töten und niemand weiß, warum.“

Erst die Veröffentlichung eines Exposés über Israels datenzentrierten Kriegsansatz im April sorgte dafür, dass die WhatsApp-Bedrohungsbewertung zu einem Spannungspunkt innerhalb von Meta wurde.

Ein gemeinsamer Bericht von +972 Magazine und Local Call enthüllte letzten Monat, dass die israelische Armee ein Softwaresystem namens Lavender verwendet, um Palästinensern in Gaza automatisch grünes Licht für die Ermordung zu geben. Lavender greift auf einen riesigen Datenpool über die 2,3 Millionen Einwohner des Gazastreifens zurück und ordnet „fast jeder einzelnen Person in Gaza eine Bewertung von 1 bis 100 zu, die ausdrückt, wie wahrscheinlich es ist, dass sie ein Militanter ist“, heißt es in dem Bericht und zitiert dabei sechs israelische Geheimdienste Offiziere. „Eine Person, bei der mehrere unterschiedliche belastende Merkmale festgestellt werden, erreicht eine hohe Bewertung und wird somit automatisch zu einem potenziellen Ziel für ein Attentat.“

Die Nutzung von WhatsApp gehört zu den zahlreichen persönlichen Merkmalen und digitalen Verhaltensweisen, mit denen das israelische Militär Palästinenser zum Tode markiert.

Dem Bericht zufolge gehört die Nutzung von WhatsApp zu den zahlreichen persönlichen Merkmalen und digitalen Verhaltensweisen, die das israelische Militär nutzt, um Palästinenserinnen und Palästinenser für den Tod zu markieren, und beruft sich dabei auf ein Buch über KI-Targeting, das vom derzeitigen Kommandeur der Einheit 8200, dem israelischen Pendant zur NSA, geschrieben wurde. “Das Buch bietet eine kurze Anleitung zum Aufbau einer ‘Zielmaschine’, ähnlich wie Lavender, die auf KI und maschinellen Lernalgorithmen basiert”, heißt es in dem +972-Exposé. Dieser Leitfaden enthält mehrere Beispiele für die “Hunderte und Tausende” von Merkmalen, die die Bewertung einer Person erhöhen können, wie z. B. die Mitgliedschaft in einer Whatsapp-Gruppe mit einem bekannten Militanten.

Das israelische Militär reagierte nicht auf eine Anfrage nach einer Stellungnahme, erklärte aber letzten Monat gegenüber The Guardian, dass es “kein System der künstlichen Intelligenz verwendet, das Terroristen identifiziert oder versucht vorherzusagen, ob eine Person ein Terrorist ist”. Das Militär erklärte, dass Lavender “lediglich eine Datenbank ist, deren Zweck es ist, nachrichtendienstliche Quellen miteinander zu vergleichen, um aktuelle Informationen über die militärischen Agenten terroristischer Organisationen zu erhalten. Es handelt sich nicht um eine Liste mit bestätigten Militärangehörigen, die für Anschläge in Frage kommen.”

Erst nach der Veröffentlichung des Lavender-Enthüllungsberichts und den darauf folgenden Veröffentlichungen zu diesem Thema entdeckte ein größerer Teil der Meta-Mitarbeiter/innen die WhatsApp-Bedrohungsanalyse vom März, sagten die vier Quellen aus dem Unternehmen, die anonym bleiben wollten, weil sie Vergeltungsmaßnahmen ihres Arbeitgebers fürchteten. Als sie lasen, dass Regierungen in der Lage sein könnten, personenbezogene Metadaten aus den verschlüsselten WhatsApp-Konversationen zu extrahieren, löste dies die tiefe Sorge aus, dass dieselbe Schwachstelle in Lavender oder andere israelische militärische Zielsysteme einfließen könnte.

 

Die Bemühungen, Meta von innen heraus dazu zu drängen, ihr Wissen über die Verwundbarkeit und eine mögliche Nutzung durch Israel preiszugeben, waren erfolglos, so die Quellen, was sie als ein breiteres Muster interner Zensur gegen Sympathie- oder Solidaritätsbekundungen mit den Palästinensern seit Beginn des Krieges beschreiben.

Meta-Mitarbeiter/innen, die besorgt darüber sind, dass ihr Produkt unschuldige Menschen in das Fadenkreuz des israelischen Militärs bringt, haben sich in einer Kampagne organisiert, die sie Metamates 4 Ceasefire nennen. Die Gruppe hat einen offenen Brief veröffentlicht, der von mehr als 80 namentlich genannten Mitarbeitern unterzeichnet wurde. Eine ihrer Forderungen lautet: “Schluss mit der Zensur – hört auf, die Worte der Mitarbeiter intern zu löschen.”

Meta-Sprecher Andy Stone erklärte gegenüber The Intercept, dass jede Diskussion über den Krieg am Arbeitsplatz den allgemeinen Verhaltensregeln des Unternehmens unterliegt, und bestritt, dass solche Äußerungen herausgegriffen wurden. “Unsere Richtlinie wurde in diesem Sinne verfasst und beschreibt die Arten von Diskussionen, die am Arbeitsplatz angemessen sind. Wenn Beschäftigte Bedenken äußern wollen, gibt es dafür etablierte Kanäle.”

Laut der internen Bewertung steht viel auf dem Spiel: “Die Inspektion und Analyse des Netzwerkverkehrs ist für uns völlig unsichtbar, aber sie offenbart die Verbindungen zwischen unseren Nutzern: wer in einer Gruppe zusammen ist, wer wem Nachrichten schickt und (am schwersten zu verbergen) wer wen anruft.”

Die Analyse stellt fest, dass eine Regierung leicht feststellen kann, wann eine Person WhatsApp benutzt, unter anderem weil die Daten die leicht identifizierbaren Unternehmensserver von Meta durchlaufen müssen. Eine Regierungsbehörde kann dann bestimmte WhatsApp-Nutzer/innen enttarnen, indem sie ihre IP-Adresse, eine eindeutige Nummer, die jedem verbundenen Gerät zugewiesen wird, zu ihrem Internet- oder Mobilfunkanbieterkonto zurückverfolgt.

Das interne Sicherheitsteam von WhatsApp hat mehrere Beispiele dafür identifiziert, wie durch geschickte Beobachtung verschlüsselter Daten der Datenschutz der App ausgehebelt werden kann – eine Technik, die als Korrelationsangriff bekannt ist. Bei einem dieser Angriffe sendet ein WhatsApp-Nutzer eine Nachricht an eine Gruppe, woraufhin eine Datenmenge mit exakt derselben Größe an das Gerät aller Mitglieder dieser Gruppe übertragen wird. Bei einem anderen Korrelationsangriff wird die Zeitverzögerung zwischen dem Senden und Empfangen von WhatsApp-Nachrichten zwischen zwei Parteien gemessen – genug Daten, um nach Ansicht des Unternehmens “die Entfernung und möglicherweise den Standort jedes Empfängers zu ermitteln”.

In der internen Warnung wird darauf hingewiesen, dass diese Angriffe voraussetzen, dass sich alle Mitglieder einer WhatsApp-Gruppe oder beide Seiten einer Konversation im selben Netzwerk und im selben Land oder “Vertragsgebiet” befinden – eine mögliche Anspielung auf die Five Eyes-Spionageallianz zwischen den USA, Australien, Kanada, Großbritannien und Neuseeland. Der Gazastreifen besitzt zwar ein eigenes, von den Palästinensern betriebenes Telekommunikationsnetz, doch der Internetzugang läuft letztlich über israelische Glasfaserkabel, die der Überwachung durch den israelischen Staat unterliegen. Obwohl das Memo darauf hindeutet, dass Nutzer/innen in “gut funktionierenden Demokratien mit ordnungsgemäßen Verfahren und strengen Datenschutzgesetzen” weniger gefährdet sind, zeigt es auch, dass die NSA diese Techniken zum Abhören von Telekommunikation auf amerikanischem Boden einsetzt.

“Die heutigen Messenger-Dienste sind nicht dafür ausgelegt, diese Metadaten vor einem Gegner zu verbergen, der alle Seiten der Verbindung sehen kann”, so Green, Professor für Kryptografie, gegenüber The Intercept. “Der Schutz von Inhalten ist nur die halbe Miete. Mit wem du kommunizierst und wann, ist die andere Hälfte.”

Die Bewertung zeigt, dass WhatsApp sich dieser Bedrohung seit letztem Jahr bewusst ist und stellt fest, dass die gleichen Überwachungstechniken auch bei anderen konkurrierenden Apps funktionieren. “Fast alle großen Messenger-Anwendungen und Kommunikationstools berücksichtigen in ihren Bedrohungsmodellen keine Angriffe durch Verkehrsanalyse”, sagte Donncha Ó Cearbhaill, Leiter des Security Lab von Amnesty International, gegenüber The Intercept. “Die Forscher wussten zwar, dass diese Angriffe technisch möglich sind, aber es war eine offene Frage, ob solche Angriffe in großem Maßstab, z. B. in einem ganzen Land, praktikabel oder zuverlässig wären.”

Die Einschätzung macht deutlich, dass die WhatsApp-Ingenieure das Ausmaß des Problems erkannt haben, aber auch wissen, wie schwierig es sein könnte, ihr Unternehmen davon zu überzeugen, es zu beheben. Die Tatsache, dass diese Anonymisierungstechniken in der akademischen Literatur so gründlich dokumentiert und diskutiert wurden, erklärt Green damit, wie “unglaublich schwierig” es für ein Unternehmen wie Meta ist, sie zu neutralisieren. “Es ist ein direkter Kompromiss zwischen Leistung und Reaktionsfähigkeit auf der einen Seite und dem Datenschutz auf der anderen Seite”, sagte er.

Auf die Frage, welche Schritte das Unternehmen unternommen hat, um die App gegen die Analyse des Datenverkehrs abzusichern, antwortete ein Sprecher von Meta gegenüber The Intercept: “Wir haben eine nachgewiesene Erfolgsbilanz bei der Lösung von Problemen, die wir identifizieren, und wir haben daran gearbeitet, böse Akteure zur Verantwortung zu ziehen. Wir haben die besten Ingenieure der Welt, die proaktiv daran arbeiten, unsere Systeme gegen zukünftige Bedrohungen zu schützen, und wir werden dies auch weiterhin tun.

In der WhatsApp-Bedrohungsanalyse wird darauf hingewiesen, dass die Erhöhung der Sicherheit für eine App, die auf ihre Massenattraktivität stolz ist, mit einem hohen Preis verbunden ist. Es wird schwierig sein, die Nutzer/innen besser vor Korrelationsangriffen zu schützen, ohne die App auf andere Weise zu verschlechtern, heißt es in dem Dokument. Für einen börsennotierten Giganten wie Meta kollidiert der Schutz gefährdeter Nutzer/innen mit dem gewinnorientierten Auftrag des Unternehmens, seine Software so zugänglich und weit verbreitet wie möglich zu machen.

“Das Spannungsfeld wird immer der Marktanteil und die Marktdominanz sein.”

“Meta hat die schlechte Angewohnheit, auf Dinge erst dann zu reagieren, wenn sie zu einem überwältigenden Problem werden”, sagte eine Meta-Quelle gegenüber The Intercept und verwies auf die Untätigkeit des Unternehmens, als Facebook während des Völkermordes an den Rohingya in Myanmar zur Gewalt aufrief. “Es geht immer um Marktanteile, Marktdominanz und darum, sich auf die größte Gruppe von Menschen zu konzentrieren, anstatt auf eine kleine Gruppe von Menschen, die enorm geschädigt werden könnte.

In dem Bericht wird davor gewarnt, dass das Hinzufügen einer künstlichen Verzögerung zu den Nachrichten, um z. B. Versuche, den Absender und den Empfänger der Daten zu lokalisieren, dazu führt, dass sich die App für alle 2 Milliarden Nutzerinnen und Nutzer langsamer anfühlt – von denen sich die meisten nie Sorgen um die Schnüffelei von Geheimdiensten machen müssen. Eine andere Idee, die in der Bewertung geäußert wurde, ist, die App dazu zu bringen, einen regelmäßigen Strom von Täuschungsdaten zu übertragen, um echte Gespräche zu verschleiern. Aber es könnte auch den negativen Effekt haben, dass die Akkulaufzeit beeinträchtigt wird und teure Rechnungen für mobile Daten anfallen.

Für das Sicherheitspersonal von WhatsApp ist der richtige Ansatz klar. “WhatsApp Security kann die Verkehrsanalyse nicht alleine lösen”, heißt es in der Bewertung. “Wir müssen uns erst einmal darauf einigen, diesen Kampf aufzunehmen und als ein Team zu agieren, um Schutzmaßnahmen für diese gefährdeten Nutzer zu entwickeln. Dies ist der Punkt, an dem wir zwischen dem allgemeinen Produktprinzip von WhatsApp, dem Datenschutz, und den Prioritäten der einzelnen Teams abwägen müssen.”

Das Memo deutet darauf hin, dass WhatsApp für gefährdete Nutzer/innen einen gehärteten Sicherheitsmodus einführen könnte, ähnlich dem “Lockdown Mode” von Apple für iOS. Aber selbst diese zusätzliche Einstellung könnte versehentlich Nutzer/innen in Gaza oder anderswo gefährden, so Green. “Menschen, die diese Funktion aktivieren, könnten auch wie ein wunder Daumen auffallen”, sagte er. “Das wiederum könnte eine Entscheidung über die Zielerfassung beeinflussen. Wirklich schade, wenn die Person, die es tut, ein Kind ist.”

---

Lesetipp: Hamas-Terroristen in Klinik “neutralisiert” – Ein offener Brief an die Tagesschau

 

*** *** *** *** ***

• 
• 
• 
•