Messenger-Sicherheit

WhatsApp Web: Erweiterung deckt Manipulationen auf

Daten­schutz ist bei Messen­gern beson­ders wichtig. Um diesen zu vali­dieren, lässt sich WhatsApp Web jetzt mit dem Tool Code Verify erwei­tern. Drei Browser haben das Add-on bereits.

WhatsApp Web soll mit einer neuen Browser-Erwei­terung namens Code Verify sicherer werden. Das für Google Chrome, Mozilla Firefox und Micro­soft Edge verfüg­bare Tool ist ab sofort in den jewei­ligen Bezugs­quellen der Inter­net­zugangs­pro­gramme erhält­lich.

Dieses Werk­zeug über­prüft den JavaScript-Code der Web-Anwen­dung und gibt anschlie­ßend, je nachdem ob er mani­puliert wurde, einen entwar­nenden oder warnenden Status an den Nutzer aus. Für die Veri­fizie­rung holte WhatsApp Inc. das US-ameri­kani­sche Online-Sicher­heits­unter­nehmen Cloud­flare an Bord. Dank verfüg­barem Quell­code können andere Entwickler mitar­beiten.

Meta lässt User Code von WhatsApp Web durch­leuchten

Statusmeldungen von Code Verify Statusmeldungen von Code Verify
Bild: WhatsApp Inc.
Wer WhatsApp nutzen will, aber nicht instal­lieren kann oder möchte, greift auf die Browser-Fassung WhatsApp Web zurück. Um dieser Option einen besseren Schutz der Privat­sphäre zu bieten, hat das Entwick­ler­studio gemeinsam mit Cloud­flar das Add-on Code Verify reali­siert. Die Sicher­heits­firma ist im Besitz einer kryp­togra­fischen Hash-Quelle des JavaScript-Codes von WhatsApp Web. Die Erwei­terung vergleicht auto­matisch den Code des Anwen­ders mit jenem, der von WhatsApp veri­fiziert und auf Cloud­flare heraus­gegeben wurde.

Ein Ampel­system signa­lisiert anschlie­ßend den Status der Web-App. Grün bedeutet, dass es keinerlei Probleme gibt, und die Veri­fizie­rung erfolg­reich war. Gelb bedeutet, dass es Fehler bei der Vali­die­rung durch eine andere Browser-Erwei­terung gab. In diesem Fall empfiehlt Meta, andere Erwei­terungen nach­ein­ander zu deak­tivieren, bis die Meldung verschwindet. Rot steht schließ­lich für einen bestä­tigten Vali­die­rungs­fehler. Der Code von WhatsApp Web stimmt nicht mit dem überein, der an andere Nutzer über­mit­telt wurde.

Wie geht man bei erkanntem Risiko vor?

Validierungsfehler bei Code Verify Validierungsfehler bei Code Verify
Bild: Andre Reinhardt
Wir haben Code Verify in Google Chrome instal­liert und einen Probe­lauf durch­geführt. Kaum öffneten wir WhatsApp Web, gab die Erwei­terung eine rote Warn­mel­dung aus. Die Web-App stimmt bei uns also nicht mit der veri­fizierten Version überein. Eine etwas beun­ruhi­gende Erkenntnis. WhatsApp gibt für solch einen Fall Hilfe­stel­lungen. Es könnte auch bei diesem Vorfall einen Konflikt mit einem anderen Add-on geben. Der User muss die Erwei­terungen über­prüfen. Ansonsten wird ein Besuch der Entwickler-Webseite ange­raten, um zu erör­tern, ob es derzeit ein Problem gibt.

Führen diese Maßnahme zu keinem Erfolg, besteht ein poten­zielles Sicher­heits­risiko, und der Nutzer soll sich von WhatsApp Web abmelden und die Version für Mobil­geräte verwenden. Personen mit Kennt­nissen in JavaScript haben außerdem die Möglich­keit, den Quell­code von WhatsApp Web herun­ter­zuladen und dem Problem selbst auf den Grund zu gehen.

Auf dem Handy erhält WhatsApp bald Umfragen.

Mehr zum Thema WhatsApp