Netzpolitik.org und WhatsApp
Seit Jahren ärgert es mich, dass die Medien (fast alle Deutschen, daher lese ich fast nur noch den Guardian) schlicht falsch oder einfach dumm berichten. Und ich meine hier nicht nur die Tatsache, dass in den Überschriften was völlig anderes steht als dann im Text. Sog. Click Baiting.
Gerade in Sachen IT berichten sie oft falsch oder nicht vollständig oder stellen keine Fragen. Im letzten Artikel zu WhatsApp habe ich das schon erwähnt. Hier noch ein Fall von einer eigentlich soliden Instanz.
Grosse Überschrift:
Ohne Staatstrojaner: Polizei und Geheimdienste können WhatsApp mitlesen
netzpolitik.org
Grundsätzlich finde ich Panik ja nicht schlecht, wenn es dazu führt, dass die Leute WhatsApp und Facebook meiden. Die Überschrift insinnuiert, dass WhatsApp nicht mehr sicher ist, die Verschlüsselung geknackt usw. Meine Katzenfotos können jetzt also von der Polizei und den Geheimdiensten mitgelesen werden.
Im Artikel steht dann folgendes:
Die Polizeibehörde schreibt: „Das BKA verfügt über eine Methode, die es ermöglichen kann, Text-, Video-, Bild- und Sprachkurznachrichten aus einem WhatsApp-Konto in Echtzeit nachzuvollziehen. Neben der genannten Kommunikation können darüber hinaus die WhatsApp-Kontakte der Zielperson bekannt gemacht werden.“
netzpolitik.org
Uh, ah. Eine Methode. Ein Riesenhack. Schnell weg.
Panik bei allen Kriminellen.
Das BKA-Referat für IT-Überwachung erläutert: „Im Zusammenhang mit der Erhebung der Kommunikation erfolgt BKA-seitig eine Anmeldung mittels WhatsApp Web unter Zuhilfenahme des Telefons der Zielperson. Der gesamte Vorgang erfolgt durch Verwendung regulär nutzbarer Funktionen der WhatsApp-Software.“
netzpolitik.org
Also im Klartext: Ich benötige das Handy des zu Überwachenden, es muss entsperrt sein und ich muss WhatsApp nutzen können. Dann kann ich via WhatsApp im Web für mich als zusätzliches Gerät einrichten. Und erst dann mitlesen.
Ausserdem: Bei mir auf dem Smartphone wird angezeigt, wenn WhatsApp Web aktiv ist. Das kann man in den Einstellungen deaktivieren, das macht der Hacker vielleicht auch, was aber entdeckt werden kann. Und in der WhatsApp-App kann man die angemeldeteten Geräte sehen, auch dort kann der Hack also bemerkt werden. Ausserdem kann man WhatsApp auf seinem Handy mit einem Pin versehen, dann geht das oben beschriebene nicht. Dieser Hinweis fehlt. Liebe netzpolitk.org, ich schätze Eure Arbeit sehr, aber so ganz habt Ihr hier zu viel Mainstream-Journalismus an den Tag gelegt. Setzen, 6.
To-Do für Sie, als WhatsApp Nutzer: Pin für die App vergeben. Wenn Sie andere Messenger verwenden: Dasselbe!
Signal gehackt, oder doch nicht?
Noch nicht allzulange her ist die Nachricht, die wirklich durch alle Medien ging, dass die Verschlüsselung von Signal, der „sicherste aller sicheren Messenger“, gehackt wurde und damit Signal nicht mehr sicher ist.
Signal ist nicht der sicherste aller sicheren. Nur weil Snowden ihn empfohlen hat glauben das alle.
- Man benötigt eine Telefonnummer. In den USA kein Problem, es gibt Nummer die man sich ohne ID zulegen kann, Voice over IP (VoIP) ist dort viel verbreiteter und anonymer als hier. In Deutschland geht das nicht, das heisst man kann Signal User identifizieren.
- Es baut Verbindungen zu Google auf, zum Beispiel wenn nach einem Captcha gefragt wird (die Zeichen in komisch grauen Kästen auf manchen Webseiten, oder sie Auswahl von Bussen in neun Bildern).
Das hat nichts mit tief untertauchen zu tun. Daher Threema.
Der Original Blog der Firma Cellebrite, die sich immer wieder damit brüstet, welche Dinge sie alles hacken kann, ist nicht mehr existent. Er hatte den Eindruck erweckt, das Verschlüsselungsprotokoll von Signal geknackt zu haben. Viele Sicherheitsforscher waren geschockt und haben das sofort überprüft. Und sehr schnell haben Sie Entwarnung gegeben. Es war kein Hack. Ist man den Schritten des Berichts von Cellebrite gefolgt, dann musste man:
- Das Android Handy in der Hand halten
- Es musste entsperrt sein
- Man musste Signal öffnen
- Dann konnte man alle Chats lesen
Viele Medien haben Ihre heischenden und falschen Artikel längst aus dem Netz genommen? Scham?
Hier der Link🇬🇧 zum offiziellen Signal Statement dazu.
Uns bleibt nichts anderes übrig, als genau zu lesen und Fragen zu stellen. Denn die meisten Medien tun das nicht mehr für uns.
Ein kleiner Hinweis dazu.
Einen sehr lustigen und auch informativen Blogeintrag🇬🇧 gibt es auf der Signalseite. Durch von einem Laster gefallenen Zufall hat der Erfinder von Signal eine Cellebrite Hardware in die Finger bekommen und seinerseits diese auf Sicherheitsmängel überprüft. Sehr unterhaltsam und informativ.