WhatsApp ignoriert seit Jahren ein Sicherheitsproblem, das alle betrifft
Stellt euch vor, ihr richtet gerade WhatsApp auf dem neuen Handy ein. Doch statt eures Profilbildes taucht das einer Fremden auf. Leute schreiben euch an, die ihr nicht kennt. Es poppen Gruppen-Chats auf, von denen ihr noch nie was gehört habt. Anscheinend habt ihr den WhatsApp-Account von jemand Fremden übernommen, ohne, dass ihr was dafürkönnt.
Was würdet ihr machen? Vermutlich euch erstmal bei WhatsApp ausloggen und das Problem ergooglen. Aber sind alle Menschen so ehrlich wie ihr? Was, wenn jemand anders so Zugriff auf euer Konto bekommen würde? Vielleicht findet es er oder sie lustig, eure Freunde oder den Chef zu beschimpfen. Oder die fremde Person schreibt eure Mama an und bittet sie schnell Geld zu überweisen, weil man dringend eine zahnärztliche Operation benötigt, die die Krankenkasse nicht deckt.
Was hier als hypothetisches Szenario erzählt wird, ist ein reales Problem. Es passiert immer wieder. WhatsApp kennt das Problem und die Ursache seit Jahren, überlässt es aber den User*innen, sich darum zu kümmern, berichtet Gizmodo.
Wiederverwendete Telefonnummern
Die Ursache des Übels ist, dass es nicht unendlich viele Telefonnummern gibt. Die Provider recyceln Telefonnummern, die abgemeldet wurden. Da man sich bei WhatsApp mit der Telefonnummer anmeldet, bekommt man dann das Profil der Person zugewiesen, die die Nummer vorher genutzt hat. Ab diesem Moment bekommt man Zugriff auf alle eingehenden Nachrichten, Fotos und Gruppen-Chats.
Im aktuellen Fall beschreibt Eric, der bei einem Tech-Unternehmen arbeitet, dass sein Sohn unabsichtlich das WhatsApp-Konto einer Frau übernommen hatte. Er ist von der Schweiz nach Frankreich umgezogen und hat sich deshalb eine französische SIM-Karte geholt. Als er das WhatsApp-Feature zum Wechseln des Kontos auf die neue Telefonnummer nutzte, tauchte das Profilbild der Frau auf und es trudelten Nachrichten von den Kontakten der Frau ein. Einigen davon antwortete er sogar, unter anderem der Großmutter der Dame, um zu erklären, was passiert ist.
Eric hat daraufhin WhatsApp kontaktiert, über das Programm zum Melden von gefundenen Bugs. Dort wurde ihm gesagt, dass das Problem schon bekannt ist und damit war der Fall erledigt. Für Eric war die Sache aber nicht erledigt. Er wollte wissen, ob das lediglich ein seltener Bug ist, oder ein tatsächliches Problem. Er kaufte sich 2 Prepaid-SIM-Karten und erhielt innerhalb von Minuten Zugriff auf WhatsApp-Nachrichten, die für andere gedacht waren. Danach kontaktierte er nochmal WhatsApp und gab dem Unternehmen 3 Monate Zeit für eine Rückmeldung – eine übliche Frist für das Melden von sicherheitsrelevanten Bugs in der IT-Branche. Die Rückmeldung kam nicht und so ging Eric an die Medien.
Nicht das erste Mal und nicht das letzte Mal
Es ist nicht das erste Mal, dass über das Problem berichtet wird. 2020 passierte das einem Vice-Redakteur. Er bekam Nachrichten auf Spanisch geschickt, sowie Fotos und Videos von Kindern. Anscheinend wollte der oder die Besitzer*in danach wieder in den WhatsApp-Account. Der SMS-Aktivierungscode dafür wurde aber an den Vice-Redakteur geschickt. Warum das passiert ist, ist unklar. Vermutlich hat die Person so selten WhatsApp genutzt, dass er oder sie vergessen hat, nach dem Nummernwechsel auch die Nummer in WhatsApp zu wechseln.
Seitdem hat WhatsApp anscheinend nichts getan, um etwas gegen dieses Problem zu unternehmen. Mit steigender Weltbevölkerung und der ständig steigenden Zahl an SIM-Karten, dürfte das Problem seitdem sogar zugenommen haben. Bei über 2,2 Milliarden aktiven WhatsApp-User*innen stehen die Chancen nicht allzu schlecht, dass man bei einem Wechsel der Telefonnummer eine erwischt, mit der zuvor WhatsApp genutzt wurde. Je mehr Kund*innen ein Provider im jeweiligen Land hat, desto höher ist diese Wahrscheinlichkeit.
WhatsApp entkoppelt Accounts nach 45 Tagen
So wie schon 2020 gibt WhatsApp auch heuer zu verstehen, dass das die Mobilfunker schuld an dem Dilemma sind. Diese würden in „extrem seltenen Fällen“ die Telefonnummern zu schnell verkaufen, sagt WhatsApp gegenüber Gizmodo. Wie auch auf der entsprechenden Hilfe-Seite zu lesen ist, geht WhatsApp nach 45 Tagen Account-Inaktivität und einer Registrierung auf einem neuen Smartphone davon aus, dass die Telefonnummer recycelt ist. Dann wird der alte WhatsApp-Account von dieser Nummer entkoppelt.
Vergibt der Mobilfunker aber etwa die Nummer schon nach 30 Tagen neu: Pech gehabt. Hier betont WhatsApp, dass die neue Person mit der Telefonnummer keinen Zugriff auf ältere Nachrichten hat. Diese werden nämlich nicht online, sondern lokal am Smartphone gespeichert. Um sich davor zu schützen, dass Fremde nach einen Nummerntausch Zugriff auf das WhatsApp-Konto bekommen, solle man die 2-Faktor-Authentifizierung aktivieren (Einstellungen – Konto - Verifizierung in zwei Schritten). Wenn man Telefonnummer wechselt, soll man zudem sofort in WhatsApp zur neuen Telefonnummer wechseln (Einstellungen – Konto - Nummer ändern).
Für Expert*innen sind diese Empfehlungen nicht weitreichend genug. Sie werfen WhatsApp vor, das Problem zu ignorieren und auf die User*innen abzuwälzen. Als Maßnahme schlagen sie vor, dass WhatsApp die 2-Faktor-Authentifizierung verpflichtend machen könnte. Zudem solle WhatsApp nicht automatisch User*innen das bestehende Profilbild der Telefonnummer zuweisen, wenn sie die Option „Nummer ändern“ in der App nutzen. Denn wenn jemand diese Option nutzt, ist es ein recht eindeutiger Indikator, dass sich die Besitzer*in der Telefonnummer geändert hat.