WhatsApp: Lücke lässt Auslesen von Daten fast aller Nutzer zu

Stefan Bubeck 5

Profilbild, Statuszeile und Onlinestatus sind elementare Bausteine, die fast jeder nutzt und sorgenfrei an WhatsApp weitergibt. Nun hat ein Hacker festgestellt: Das lässt sich spielend leicht abrufen – und zwar massenhaft und von Menschen, die man gar nicht kennt. Selbst Telefonnummern lassen sich verifizieren. Facebook stuft die Lücke als unbedenklich ein, wir haben sein Daten-Sammel-Script ausprobiert – und sind erschüttert.

WhatsApp: Lücke lässt Auslesen von Daten fast aller Nutzer zu

Wer meine Telefonnummer kennt und im Telefonbuch speichert, kann mich in WhatsApp sehen: Da ist die Handy-Nummer, mein Profilbild, meine Statuszeile („Hallo Leute!“) und mein Onlinestatus. Diese Informationen sind nicht sonderlich geheim – das geht so in Ordnung. Aber: Was wäre, wenn jemand diese Informationen aus der Ferne automatisiert abgreift? Jemand den ich nicht kenne, der aber danach weiß, dass meine Telefonnummer erst einmal existiert, wie ich aussehe und was ich meinen Kontakten per Statuseintrag mitteilen möchte?

WhatsApp Datenschutzeinstellungen.

Profilbild, Statustext und Online-/Offline-Statusmeldung in WhatsApp abzugreifen, ist kinderleicht

Der niederländische Hacker und Sicherheitsexperte Loran Kloeze hat auf seinem Blog eine Anleitung für ein Script veröffentlicht, das sich eine inoffizielle WhatsApp-Schnittstelle zu Nutze macht. Damit kann jeder, auch ein Laie, innerhalb von Sekunden die Informationen hunderter Profile abrufen.

Technischer Hintergrund: Der Dienst WhatsApp Web, der die Nutzung von WhatsApp am Desktop ermöglicht, kommuniziert mit den WhatsApp-Servern über das verbundene Smartphone. Der Browser gibt dem Server die Anweisung, Informationen zu einer bestimmten Telefonnummer zu liefern. Das tut er dann auch und zwar: Profilbild, Statustext und Online/Offline-Statusmeldung. Eigentlich gilt das nur für eine bestimmte Person oder eine handvoll Kontakte, mit denen man tatsächlich interagiert. Aber Kloeze stellte fest: Das funktioniert mit beliebigen Nummern, und zwar auch mit sehr vielen auf einmal. Alles, was man dazu braucht ist ein einfaches Skript. Wir skizzieren den Weg – nicht um zur Nachahmung aufzurufen, sondern um zu belegen, wie einfach es ist. Wir raten ausdrücklich von der Benutzung des Scripts ab und weisen darauf hin, dass WhatsApp bei Missbrauch der Funktion Accounts durchaus sperren kann.

Bilderstrecke starten
16 Bilder
15 Momente aus WhatsApp-Gruppenchats, die einfach nur nerven.

Daten abgreifen in WhatsApp – so geht’s:

  1. Wir kopieren Kloezes Script bei Github.
  2. Dann öffnen wir WhatsApp Web in einem Browserfenster. Damit es funktioniert, muss die Anwendung aktiv, also mit einem Smartphone verbunden sein.
  3. Ein Klick auf F12 öffnet im Chrome-Browser die Entwicklertools.
  4. Dort wechseln wir in den Unterpunkt Console, fügen dort das Script aus der Zwischenablage ein und drücken Enter.
  5. Nun sehen wir die rudimentäre grafische Oberfläche von Kloezes Tool. Oben geben wir einen Telefonnummernbereich von 100 Nummern ein – mit Ländervorwahl, aber ohne führende Nullen oder Pluszeichen ein – und klicken dann auf „Start Indexer“
  6. Innerhalb eines Sekundenbruchteils liefert uns das Script die entsprechenden Einträge zu Menschen, die wir überhaupt nicht kennen. Ein Klick aufs Profilbild liefert uns zudem die volle Qualität der hinterlegten Bilddatei.

Allein schon die Möglichkeit, massenhaft zu prüfen, welche Telefonnummern vergeben sind und ob diese aktiv genutzt werden, ist eine Steilvorlage für die Machenschaften zwielichtiger Gestalten. Denkbar sind Szenarien, in denen

  • Spammer das Verfahren heranziehen, um Telefonnummern für SMS-Spam zu verifizieren.
  • sich Übeltäter gezielt Senioren anhand des Profilbild heraussuchen und den „Enkeltrick“ anwenden, um sich Geld per Telefon zu erschleichen.
  • Stalker sich Opfer für Belästigung und Telefonterror herauspicken, etwa junge Frauen oder Kinder.
  • Kriminelle die Identität vorhandener Nutzer übernehmen.

Facebook: „Keine Lücke“

Kloeze hat bei Facebook (WhatsApps Mutterkonzern) angefragt und eine schriftliche Antwort erhalten: Dort ist man sich offenbar bewusst über diese technische Gegebenheit – sieht hier aber keine Sicherheitslücke. Der Konzern verweist auf die Privatsphäre-Einstellungen, die im Einzelfall den Abruf solcher Informationen verhindern.

Das ist aus unserer Sicht freilich nur die halbe Wahrheit, denn die Entwickler bei WhatsApp und Facebook könnte durchaus konkrete Sicherheitsmaßnahmen ergreifen, um diese Lücke zu unterbinden, ohne die Funktionalität des Dienstes zu beeinträchtigen. Ein Beispiel wäre, den Abruf von Daten über das API zu beschränken, etwa auf eine festgelegte Anzahl pro Minute, und das dauerhafte Abgreifen von Nummern mit Accountsperren zu belegen.

Wie man sich vor WhatsApp-Stalkern schützen kann

Schützen kann man sich als privater WhatsApp-Nutzer, indem man seine Privatsphäre-Einstellungen anpasst und Daten nur an bekannte Kontakte aus dem eigenen Adressbuch freigibt.

Weiterführend zum Thema: WhatsApp: Status für bestimmte Kontakte verstecken – so geht’s

Stellt sich die Frage, ob das dem Durchschnittsbenutzer bekannt ist. So hinterlässt Kloezes Entdeckung ein ziemlich mulmiges Gefühl und erinnert daran, dass viele der von uns freigegebenen Informationen im Prinzip weltweit und ohne Hindernisse zugänglich sind – auch für Dritte.

Quelle: Loran Kloeze

Kommentare zu dieser News

* gesponsorter Link