WhatsApp-Sicherheitslücke entdeckt: 3,5 Milliarden Konten gefährdet!

Forscher der Universität Wien haben eine gravierende Sicherheitslücke in WhatsApp aufgedeckt, die es ermöglichte, weltweit Millionen von Nutzerkonten zu identifizieren. Die Schwachstelle im „Contact Discovery”-Mechanismus des Messengers machte es möglich, durch das Synchronisieren von Telefonnummern mit den Servern von Meta, dem Betreiber von WhatsApp, eine vollständige Übersicht aller Nutzer zu erstellen. In Zusammenarbeit mit WhatsApp konnte die Lücke mittlerweile geschlossen werden.

Den Forschern gelang es, mehr als 100 Millionen Telefonnummern pro Stunde bei dem Server abzufragen. Dadurch konnten sie schließlich mehr als 3,5 Milliarden aktive Konten weltweit bestätigen. Ob es sich dabei tatsächlich um alle existierenden WhatsApp-Konten handelt, wissen die Informatiker nicht genau. „So grob müsste es aber hinkommen”, so Gegenhuber. Es sei jedenfalls die Untergrenze.

„Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit von einer Quelle bzw. einem Server beantwortet werden”, erklärte Gegenhuber. Aufgrund der Sicherheitslücke konnten die Forscher allerdings unbegrenzt Anfragen an den Server stellen und so eine weltweite Erhebung durchführen.

Dadurch konnten sie Daten wie Telefonnummern, die für die Ende-zu-Ende-Verschlüsselung notwendigen öffentlichen Schlüssel, Zeitstempel sowie, falls öffentlich eingestellt, Profilbilder und About-Texte sammeln. Aus diesen Daten konnten die Experten zusätzliche Metadaten extrahieren, die Rückschlüsse auf das Betriebssystem der Nutzer, das Alter des Kontos sowie die Anzahl der verbundenen Sekundärgeräte, etwa für WhatsApp Web, zuließen.

So konnte das Forschungsteam auch Millionen aktive WhatsApp-Konten in Ländern identifizieren, in denen die Plattform offiziell verboten ist, etwa in China, dem Iran und Myanmar. Zudem zeigte sich, dass fast die Hälfte aller im Facebook-Datenleck von 2021 aufgetauchten Telefonnummern weiterhin auf WhatsApp aktiv war. Bei diesem Leck waren die persönlichen Daten von mehr als 530 Millionen Facebook-Nutzern weltweit im Internet veröffentlicht worden. Für die Wiener Forscher verdeutlicht dies ein anhaltendes Risiko für kompromittierte Nummern, etwa um Ziel von Scam Calls zu werden.

Die Experten konnten auch einige allgemeine Erkenntnisse über WhatsApp-Nutzer gewinnen. Dazu zählen die weltweite Verteilung von Android-Geräten (81 Prozent) gegenüber iOS-Geräten (19 Prozent), regionale Unterschiede im Datenschutzverhalten – etwa bei der Verwendung öffentlicher Profilbilder oder „About“-Texte – sowie Unterschiede in der Aktivität und dem Wachstum von WhatsApp-Konten in verschiedenen Ländern.

Die Informatiker haben ihre Ergebnisse an Meta, den Betreiber von WhatsApp, gemeldet. Dieser hat seitdem die Schwachstelle geschlossen.

Es wird betont, dass in der Studie nicht auf die Ende-zu-Ende-verschlüsselten Nachrichteninhalte zugegriffen wurde und keine personenbezogenen Daten veröffentlicht oder weitergegeben wurden. Alle abgerufenen Daten wurden vor der Veröffentlichung der Studienergebnisse gelöscht.

„Ende-zu-Ende-Verschlüsselung schützt den Inhalt von Nachrichten, aber nicht unbedingt die damit verbundenen Metadaten“, betont Co-Autor Aljosha Judmayer von der Universität Wien. Die Ergebnisse der Arbeit, die im Februar bei einer Fachtagung in den USA offiziell präsentiert werden, zeigen, dass „Datenschutzrisiken auch entstehen können, wenn solche Metadaten in großem Umfang gesammelt und analysiert werden”.