Eine kritische Sicherheitslücke in WhatsApp hat die Telefonnummern und zugehörigen Profilinformationen von über 3 Milliarden Benutzern weltweit offengelegt, was zu ernsthaften Datenschutzbedenken für die weltweit beliebteste Messaging-App führt. Die von Forschern der Universität Wien und SBA Research entdeckte Schwachstelle ermöglicht es böswilligen Akteuren, Benutzerdaten in einem beispiellosen Ausmaß abzugreifen.
Funktionsweise der Sicherheitslücke
Der Kern des Problems liegt im Kontakterkennungsmechanismus von WhatsApp. Wenn ein Benutzer der App die Erlaubnis erteilt, auf sein Adressbuch zuzugreifen, gleicht WhatsApp diese Nummern mit seiner zentralen Datenbank ab, um zu zeigen, welche Kontakte sich auch auf der Plattform befinden. Allerdings kann derselbe Prozess ausgenutzt werden, um ohne Genehmigung systematisch Telefonnummern, Profilfotos und „Über“-Status aufzuzählen.
„Dieses Problem verdeutlicht ein grundlegendes Problem der WhatsApp-Architektur: Die Telefonnummer selbst ist die Schwachstelle.“ — Marijus Briedis, CTO bei NordVPN.
Das bedeutet, dass jeder mit grundlegenden technischen Kenntnissen möglicherweise Milliarden von Datenpunkten hätte sammeln können, um gezielte Angriffe wie Phishing, Identitätsdiebstahl und Social-Engineering-Betrug zu ermöglichen. Besonders alarmierend ist die Geschwindigkeit, mit der diese Daten extrahiert werden könnten.
Die umfassenderen Implikationen
Dieser Vorfall unterstreicht einen umfassenderen Trend: die inhärenten Risiken der Verwendung von Telefonnummern als primäre Benutzerkennungen. Telefonnummern sind öffentlich, dauerhaft und können leicht gelöscht werden, sodass sie für die sichere Authentifizierung in modernen digitalen Umgebungen ungeeignet sind. Viele Plattformen verlassen sich bei der Registrierung und Verifizierung immer noch auf Telefonnummern, wodurch eine systemische Schwachstelle entsteht, die Cyberkriminelle ausnutzen können.
Die Ergebnisse der Forscher wurden in einem Preprint-Artikel mit dem Titel „Hey there!“ veröffentlicht. „Sie verwenden WhatsApp: Aufzählung von drei Milliarden Konten für Sicherheit und Datenschutz“ sind eine deutliche Erinnerung daran, dass selbst ausgereifte Plattformen wie WhatsApp nicht vor grundlegenden Designfehlern gefeit sind.
Metas Antwort und aktuelle Anschuldigungen
Meta, die Muttergesellschaft von WhatsApp, behauptet, die Sicherheitslücke behoben und gemindert zu haben, und gibt an, dass es keine Hinweise auf eine böswillige Ausnutzung gebe. Das Unternehmen erkennt auch die verantwortungsvolle Offenlegung durch die Forscher der Universität Wien im Rahmen ihres Bug-Bounty-Programms an.
Dies geschieht jedoch nach den jüngsten Anschuldigungen des ehemaligen WhatsApp-Sicherheitschefs Attaullah Baig, der eine Klage wegen systemischer Versäumnisse bei der Bekämpfung von Kontoübernahmen und Hackerangriffen eingereicht hat, wobei täglich über 100.000 Konten kompromittiert werden. Baigs Behauptungen deuten darauf hin, dass die Sicherheitspraktiken von WhatsApp möglicherweise laxer sind als öffentlich anerkannt.
Was dies für Benutzer bedeutet
Die Aufdeckung dieses Fehlers ist ein Weckruf für Benutzer und Plattformen. Es unterstreicht die Notwendigkeit stärkerer Methoden zur Identitätsüberprüfung, die über Telefonnummern hinausgehen, wie etwa dezentrale Identifikatoren oder biometrische Authentifizierung.
Letztendlich unterstreicht dieser Vorfall die Realität, dass der Online-Datenschutz ein ständiger Kampf und kein fester Zustand ist. Benutzer müssen hinsichtlich ihrer digitalen Fußabdrücke wachsam bleiben und Plattformen müssen robuste Sicherheitsmaßnahmen zum Schutz ihrer Benutzerbasis priorisieren.
