BR24 Logo
BR24 Logo
Startseite
© BR/Julia Müller
Bildrechte: BR/Julia Müller

WhatsApp-Accounts können offenbar relativ leicht von Fremden gesperrt werden.

1
Per Mail sharen

    WhatsApp-Schwachstelle: Quasi jeder kann Ihren Account sperren

    Ein wenig böse Energie muss man schon aufbringen: Aber prinzipiell kann jeder, der Ihre Telefonnummer kennt, eine Sperrung Ihres WhatsApp-Accounts bewirken. Möglich macht das eine Lücke im Anmelde-System. Doch man kann sich schützen.

    1
    Per Mail sharen
    Von
    • Thomas Moßburger

    Bei Star Wars klappt es immer wieder: Die übermächtigen Schurken werden letztlich besiegt, indem eine kleine Gruppe Rebellen eine Schwachstelle im militärischen Machtinstrument der Bösen findet und es so zerstört. Mancher Zuschauer fragt sich: Ist es realistisch, dass so große Organisationen diese schweren Schwachstellen übersehen?

    Ein Blick in die Realität zeigt: Ja. Erst jüngst wurden größere Hacks bei Facebook und bei der Microsoft-Tochter LinkedIn bekannt, bei denen Cyberkriminelle blinde Flecken der Portale nutzten und Millionen von Nutzerdatensätzen offenlegten. Doch auch die Facebook-Tochter WhatsApp, der mit weitem Abstand beliebteste Messenger in Deutschland, hat offene Stellen.

    Wie das US-Medium "Forbes" mit Verweis auf die Sicherheitsforscher Luis Márquez Carpintero and Ernesto Canales Pereña berichtet, kann quasi jeder mit ein wenig Böswilligkeit fremde WhatsApp-Accounts dauerhaft sperren. Alles was ein Angreifer dafür braucht, ist die Telefonnummer des WhatsApp-Users und bisschen Durchhaltevermögen.

    WhatsApp-Schwachstellen kombiniert

    Dafür würde man sich den Anmeldeprozess bei WhatsApp in Kombination mit der vorhandenen Möglichkeit der WhatsApp-Account-Deaktivierung per E-Mail zu Nutze machen. Die Methode, hier bewusst eher grob erklärt: Angreifer laden WhatsApp herunter und registrieren sich mit einer fremden Nummer. Der eigentliche Nutzer erhält einen Code per SMS, kann aber nichts damit anfangen. Die Angreifer fordern immer wieder neue Codes an, geben falsche ein. Irgendwann wird es WhatsApp zu bunt, sie unterbinden neue Registrierungsversuche, zunächst auf Zeit, später dann auch Dauer.

    Der angegriffene Nutzer merkt nichts, außer SMS oder Anrufe mit Codes, die er aber nicht verwerten kann. Wirklich gefährlich wird dieser Registrierangriff daher erst durch eine zweite Eigenschaft von WhatsApp: User können einen Accounts per E-Mail an den WhatsApp-Support deaktivieren lassen. Ein kurzes "Hey, habe mein Handy verloren, bitte deaktiviert folgende Nummer 1+1234567" reicht laut "Forbes" aus. Es folgt ein offenbar automatisiertes Verfahren ohne Check, ob der E-Mailer auch der Inhaber der Nummer ist. So kann jeder auch die Accounts anderer User deaktivieren lassen, solange er deren Nummern hat.

    Normalerweise würde das Opfer einer solchen Deaktivierung dann aber nur kurz aus WhatsApp fliegen und könnte sich anschließend wieder mit seiner alten Nummer registrieren. Falls jemand allerdings zuvor die oben beschriebene Dauer-Registrierung auf die Spitze getrieben und eine Sperrung für die Registrierung der Telefonnummer ausgelöst hat, geht das nicht. Der Account wäre mindestens zeitweise weg, im Extremfall eine neue Handynummer zur Registrierung nötig.

    Gefahr aus dem Umfeld?

    Das Vorgehen ist durchaus mit ein wenig Aufwand verbunden und legt auch nicht direkt intime Daten des WhatsApp-Users frei, was Cyberkriminelle normalerweise anzieht. Bedrohlich und unangenehm ist es trotzdem, den eigenen Account mit zahlreichen Nachrichten und Kontakten zu verlieren und sich um eine neue Nummer bemühen zu müssen.

    Noch wahrscheinlicher als ein gezielter Angriff von professionellen Cyberkriminellen erscheint ein Angriff aus dem eigenen Umfeld. Von einem verschmähten Flirt, einem Arbeitskollegen, der einen Konkurrenten ausstechen will, der dann kurzzeitig schwerer erreichbar wäre, Schülern, die einem missliebigen Lehrer eins auswischen möchten.

    So können Sie sich schützen

    Ein WhatsApp-Sprecher verweist auf BR24-Anfrage darauf, dass das beschriebene Vorgehen gegen die Geschäftsbedingungen von WhatsApp vorstoßen würde und ein Angriff letztlich unwahrscheinlich sei. Schützen kann man sich trotzdem, wie WhatsApp ebenfalls erklärt.

    Dazu müssen Sie Folgendes tun:

    • In WhatsApp die "Einstellungen" öffnen
    • "Account" anwählen
    • "Verifizierung in zwei Schritten" anwählen
    • "Aktivieren" klicken, PIN festlegen
    • E-Mail angeben und bestätigen

    Diese E-Mail ist bei WhatsApp damit hinterlegt und kann helfen, einen über den oben genannten Angriff gesperrten Account wiederzubekommen. Sobald Sie unaufgeforderte SMS von WhatsApp erhalten, sollten Sie auf jeden Fall tätig werden und WhatsApp kontaktieren. Theoretisch ist als Problemlösung natürlich auch denkbar, einen anderen Messenger als WhatsApp zu nutzen.

    "Forbes" wertet WhatsApps gleichlautende Antwort auf ihre Anfrage als "Herunterspielen" des Problems, was an den aktuellen Hack bei der WhatsApp-Mutter Facebook erinnere. Auch hier sei die Gefahr kleingeredet worden und nun liegen die Daten von Millionen von Usern offen.

    Zumal eine WhatsApp-seitige Lösung laut "Forbes" relativ einfach wäre. Etwa, indem der Messenger "Vertrauenswürdige Geräte" identifiziert, auf denen ein Account genutzt wird. Viele kennen dies sicher von anderen Anbietern, die per E-Mail warnen: "Jemand hat sich mit Ihrem XY-Konto auf einem anderen Gerät angemeldet..."

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!