Fremde können euch aus WhatsApp aussperren

WhatsApp wird von über 2 Milliarden Menschen genutzt. Jeder davon kann mit relativ geringem Aufwand und ohne Programmierkenntnisse am Zutritt zu seinen Chats gehindert werden. Das fanden die beiden Sicherheitsforscher Luis Marquez Carpintero und Ernesto Canales Perena heraus, wie Forbes berichtet. Und so funktioniert das aufgezeigte Verfahren:

Mehrmals falsch

Zunächst meldet sich der Angreifer neu bei WhatsApp an und gibt bei der Registrierung die Telefonnummer des Opfers an. WhatsApp verlangt daraufhin die Eingabe eines Bestätigungs-Codes, der der angegebenen Telefonnummer per SMS zugesendet wird. Das Opfer erhält die Nachricht, dass ein Registrier-Code angefordert wurde. Der Angreifer erhält den Code nicht, weshalb er irgendwelche sechsstelligen Codes in das Formularfeld einfüllt.

Nach mehrmaligem falschen Eingeben wird die Möglichkeit der Code-Eingabe für 12 Stunden gesperrt. Der Angreifer schickt WhatsApp nun ein E-Mail und behauptet darin, "sein" Telefon (mit der Nummer des Opfers) sei gestohlen worden und der Zugang zu "seinem" WhatsApp-Profil solle gesperrt werden. Nun wird das Opfer plötzlich von WhatsApp ausgesperrt.

Keine Kontrolle mehr

Das Opfer erhält von WhatsApp eine Nachricht, dass WhatsApp nicht länger auf dem vorliegenden Smartphone registriert ist. Wenn man das nicht selber veranlasst hat, könne man aber die eigene Telefonnummer verifizieren, um sich wieder einzuloggen. Das Opfer versucht das, erhält aber den notwendigen, per SMS zugeschickten sechsstelligen Code nicht. Die 12-stündige Sperre, die der Angreifer erwirkt hat, gilt nämlich weiterhin - auch für das Opfer.

Als wäre eine 12-stündige Auszeit von WhatsApp in bestimmten Situationen nicht schon schlimm genug, kann der Angreifer den gesamten oben geschilderten Vorgang bis zu dreimal wiederholen. Nach dem dritten 12-Stunden-Warten-Zyklus gibt die Eingabemaske von WhatsApp für den sechsstelligen Verifizierungs-Code den Geist auf. Statt "Versuch es erneut in 12 Stunden" erscheint nur noch "Versuche es erneut nach -1 Sekunden". Das WhatsApp-Profil bleibt gesperrt. Das Opfer erlangt dann die Kontrolle über sein Profil nur zurück, wenn es sich mit WhatsApp in Verbindung setzt und den Fall aufklärt.

"Unwahrscheinliches Problem"

Obwohl nicht bekannt ist, dass diese Schwachstelle schon einmal ausgenutzt worden ist, sind Sicherheitsexperten über die reine Möglichkeit entsetzt. Sie betonen, dass man dieses Problem technisch lösen könnte, etwa mit 2-Faktor-Authentifizierung, wo neben der Telefonnummer noch eine E-Mail-Adresse des Nutzers angegeben werden muss. Das würde verhindern, dass WhatsApp Sperranfragen nachkommen müsste, die es von irgendeiner beliebigen E-Mail-Adresse erhält.

Eine weitere Lösung wäre, WhatsApp auf mehreren Geräten nutzbar zu machen und ein eigenes Gerät als Backup für ein anderes verwenden zu können, wenn man die Kontrolle über das eigene Profil wiedererlangen muss. WhatsApp hat die Schilderungen der Sicherheitsforscher als "unwahrscheinliches Problem" bezeichnet und keinerlei Änderungen angekündigt.