Eine riesige Sicherheitslücke bei WhatsApp ermöglichte es Forschern, 3,5 Milliarden Konten weltweit zu identifizieren.

Eine inzwischen geschlossene, aber schwerwiegende Datenschutzlücke hat es Forschern der Universität Wien und von SBA Research ermöglicht, eine globale Erhebung von allen WhatsApp-Konten durchzuführen. Sie konnten dabei insgesamt 3,5 Milliarden Nutzer in 245 Ländern identifizieren. Die Schwachstelle lag im sogenannten „Contact Discovery“-Mechanismus, der es eigentlich erleichtern soll, Kontakte im eigenen Adressbuch zu finden.

WhatsApp: Forscher legen gigantisches Leak offen

Durch einen Missbrauch dieser Funktion gelang es den Informatikern, pro Stunde die Existenz von über 100 Millionen Telefonnummern bei WhatsApp abzufragen. So sammelten sie öffentlich zugängliche Informationen wie die Nummer selbst, Zeitstempel und, falls von den Nutzern freigegeben, auch Profilbilder und Status-Texte.

Die Inhalte von Nachrichten waren durch die Ende-zu-Ende-Verschlüsselung zwar nicht gefährdet, die Lücke betraf ausschließlich Metadaten – allerdings waren diese für ein peinliches und potenziell extrem gefährliches Leak bereits mehr als ausreichend. (Quelle: Universität Wien)

Aus den gesammelten Daten konnten die Forscher nämlich diverse Rückschlüsse ziehen, die tief in die Privatsphäre der Nutzer eingreifen. Dazu gehörten das verwendete Betriebssystem – weltweit nutzen demnach 81 Prozent Android und 19 Prozent iOS –, das ungefähre Alter des Kontos und die Anzahl der verbundenen Zweitgeräte, wie beispielsweise WhatsApp Web. Solche Metadaten wären für Angreifer und Datenhändler äußerst wertvoll.

Gefährlich ein solches Szenario zum Beispiel darüber hinaus für Nutzer werden, in deren Ländern WhatsApp per Gesetz verboten ist – beispielsweise aktuell in China oder zeitweise im Iran. In beiden Ländern befinden sich laut der Studie mehrere Millionen Nutzer, die über die Sicherheitslücke enttarnt hätten werden können.

WhatsApp: Meta reagiert auf Riesen-Leak

Die Forscher meldeten ihre Entdeckung an den Mutterkonzern Meta, der die Sicherheitslücke mittlerweile geschlossen hat. Laut WhatsApp wurden inzwischen Gegenmaßnahmen wie eine Begrenzung der Abfragerate ergriffen.

Zwar hat Meta bestätigt, dass die erhobenen Daten gelöscht worden sind und es keinen Hinweis auf unerlaubte Verwertung von Dritten gäbe. Doch weil das Leak eine Weile lang offen war, kann dies natürlich nicht mit vollständiger Sicherheit garantiert werden. Es bleibt nur zu hoffen, dass anderen diese eklatante Lücke nicht ebenfalls aufgefallen ist.

Der Fall zeigt in jedem Fall eindrücklich, wie wichtig unabhängige Sicherheitsforschung ist, um selbst bei den größten Tech-Plattformen Schwachstellen aufzudecken und den Schutz der Nutzerdaten zu verbessern.

