Seit wenigen Tagen überschlägt sich jedes drittklassige Käseblatt mit der Neuigkeit, dass es in dem Kurznachrichtendienst Whatsapp eine Sicherheitslücke gibt, die es erlaubt in einem WLAN Nachrichten anderen Whatsapp Nutzer mitzulesen. Diese Erkenntnis ist in Fachkreisen bereits seit Monaten bekannt und daher alles andere als Neu. Warum also jetzt die Aufregung? Weil die Computerbild das Ganze in einem Test von Apps zum kostenlosen Verschicken von Kurznachricht auch nochmal bestätigt hat. Und wenn die Computerbild das schreibt, dann ist es ja anscheinend Pflicht jedes Redakteurs dies in sein lokales Mitteilungsblatt zu schreiben und gleich mal schön die ganzen Technik (Un-)Fakten frei wiederzugeben. Beispiel gefällig?
Der Grund ist dem Medienbericht zufolge, dass WhatsApp Nachrichten per XMP-Protokoll überträgt, also in Klartext.
Ach so…ja klar..XMPP ist Klartext. Und Klartext MUSS ja gefährlich sein. Aber was ist denn mit SMTP (E-Mail-Versand) oder POP3/IMAP (E-Mail-Abruf) oder mit dem Besuchen von Webseiten via HTTP. Das sind alles Protokolle die Nutzdaten erst mal unverschlüsselt übertragen. Aber da würde keiner das Protokoll für verantwortlich machen, sondern auf den Fakt hinweisen, dass man doch bitte SSL/TLS verwenden soll. Also zunächst auf beiden Seiten die Kommunikation verschlüsselt, bevor man dann durch diese sichere Verbindung die Klartext-Protokolle schickt. Ich erwarte nicht das dem normalen Anwender dies im Detail erklärt wird, aber mit dem Finger auf XMPP zeigen finde ich Ruf-schädigend.
Zweites Problem, was auch immer wieder angesprochen wird, ist das Übertragen von Adressbuchdaten zum jeweiligen Anbieter der Apps. Wenn man sich mal anschaut wie das z.B. bei Whatsapp funktioniert ist ganz schnell klar, dass es keine andere Methode gibt einen SMS-ähnlichen Dienst ohne Zugriff auf die im Adressbuch gespeicherten Telefonnummern zu betreiben. Bevor ich damals anfing Whatsapp zu benutzten, habe ich mich mal im Netz umgeschaut was Leute bereits darüber raus gefunden haben und es zeigte sich, dass die App auf den Whatsapp Servern lediglich Kontaktlisteneinträge anlegt die als Benutzername “Telefonnummer@s.whatsapp.net” haben.
Die Alternative zu Whatsapp & Co, die sich ja wohl leider nicht durchsetzt: Alle öffnen Ihre XMPP-Server (Facebook Chat, Google Talk, GMX) und ermöglichen es so Ihren Nutzern mit denen auf anderen Servern zu kommunizieren. Das war eigentlich mal das geniale Grundgedanke hinter XMPP: Keine geschlossenen und proprietären Dienste wie ICQ, MSN, AOL zu haben sondern ein Standardprotokoll zum Chatten zu benutzten wie man es auch von E-Mails gewohnt ist. Dabei hätte im Prinzip sogar die bestehende E-Mail-Adresse als XMPP-Benutzername dienen können.
Zu guter Letzt: Ja ich benutze Whatsapp. Aber mir ist bei so etwas immer klar, dass ich darüber keine vertraulichen Informationen schicken sollte. Schließlich ist es keine Peer-to-Peer Kommunikation. Ist SMS in den meisten Fällen wohl auch nicht habe ich mir sagen lassen.