Forschende decken massive Sicherheitslücke in Whatsapp auf

Ein Forschungsteam aus Österreich hat eine grosse Sicherheitslücke in Whatsapp aufgedeckt. Wie die Universität Wien und SBA Research mitteilen, konnten sie dadurch 3,5 Milliarden Whatsapp-Konten identifizieren. Darunter auch rund 8,4 Millionen Schweizer Accounts, wie dem Preprint der Studie zu entnehmen ist.

Die Schwachstelle lag gemäss der Universität im Contact-Discovery-Mechanismus von Whatsapp. Mit diesem Verfahren zeigt die App, welche der eigenen Telefonkontakte die Messenger-App ebenfalls verwenden. Die Forschenden machten sich dies zunutze: Eigenen Angaben zufolge fragten sie unbegrenzt 100 Millionen Telefonnummern pro Stunde auf dem Server ab. Mit diesem Vorgehen hätten sie alle aktiven Whatsapp-Konten in insgesamt 245 Ländern registrieren können. 

Welche Daten sind betroffen

Laut der Mitteilung umfassten die gefundenen Daten die Telefonnummer, den öffentlichen Schlüssel, den Zeitstempel sowie das öffentlich zugängliche Profilbild und die About-Texte. Basierend auf diesen Informationen konnten zusätzliche Metadaten wie das Alter des Kontos oder die damit verknüpften Geräte ermittelt werden.

Die privaten Nachrichteninhalte seien aufgrund der "Ende-zu-Ende"-Verschlüsselung allerdings nicht betroffen. Trotzdem lege die Studie mögliche Gefahren offen: "Unsere Arbeit zeigt, dass Datenschutzrisiken auch entstehen können, wenn solche Metadaten in grossem Umfang gesammelt und analysiert werden", lässt sich Aljosha Judmayer von der Universität Wien zitieren.

Was die Metadaten global verraten

Die erhobenen Daten lieferten zudem weltweite Einblicke. So wurden Millionen von Usern in Ländern wie China, Iran und Myanmar festgestellt - das, obwohl Whatsapp dort eigentlich verboten ist. Die Forschenden konnten auch das globale Verhältnis der Betriebssysteme unter den Usern ermitteln. Demnach verwenden 81 Prozent Android und 19 Prozent iOS. Darüber hinaus stellten sie fest, dass sich die User bezüglich Datenschutz und Kontoaktivität in verschiedenen Ländern unterschiedlich verhalten. 

In einigen Fällen bemerkten die Forscher auch die Wiederverwendung von Sicherheitsschlüsseln über unterschiedliche Geräte oder Rufnummern. Dies deute auf Probleme mit inoffiziellen Whatsapp-Versionen oder auf Betrug hin. Die Uni merkt weiter an, dass die Hälfte der 500 Millionen Nummern, die bereits im Facebook-Datenleck von 2021 kompromittiert wurden, immer noch auf Whatsapp aktiv sind. Diese Nummern seien dadurch weiterhin einem Risiko ausgesetzt.

Reaktion von Meta

Nach eigenen Angaben informierten die Forschenden Meta umgehend über die Ergebnisse und löschten alle abgerufenen Daten vor der Publikation. Meta habe bereits mit Gegenmassnahmen reagiert.

"Durch diese Zusammenarbeit konnte eine neuartige Aufzählungstechnik identifiziert werden, die unsere vorgesehenen Grenzen überschritt und es den Forschenden ermöglichte, grundlegende öffentlich zugängliche Informationen zu scrapen", sagt Nitin Gupta, VP of Engineering bei Whatsapp. "Wir hatten bereits an branchenführenden Anti-Scraping-Systemen gearbeitet, und diese Studie war entscheidend für die Belastungsprüfung und die Bestätigung der unmittelbaren Wirksamkeit dieser neuen Abwehrmassnahmen."

Der Konzern betont weiter, dass keine Hinweise auf einen Missbrauch der Sicherheitslücke vorlägen.

Im September schloss Whatsapp eine Sicherheitslücke, mit welchen Cyberkriminelle IPhones und Macs hacken konnten. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.