Lücke bei Whatsapp - «Darf nicht möglich sein!» – User wird bei Messenger ausgesperrt
Publiziert

Lücke bei Whatsapp«Darf nicht möglich sein!» – User wird bei Messenger ausgesperrt

Sicherheitsforscher warnen vor einem neuen Angriff, mit dem User aus ihren Whatsapp-Accounts ausgesperrt werden. Dies selbst dann, wenn die Zweifaktorauthentifizierung aktiviert ist. Alles, was es dazu braucht, ist die Handynummer.

von
Tobias Bolzern
1 / 2
Mithilfe der Handynummer könnten Angreifer Whatsapp-Konten sperren. 

Mithilfe der Handynummer könnten Angreifer Whatsapp-Konten sperren.

20min/Tobias Bolzern
Zwei Sicherheitsforscher warnen nun vor der neuen Masche. 

Zwei Sicherheitsforscher warnen nun vor der neuen Masche.

20min/Taddeo Cerletti

Darum gehts

  • Hacker können mit der Handynummer andere aus Whatsapp aussperren.

  • «Das sollte nicht so einfach sein», warnen zwei Sicherheitsforscher.

  • Betroffene sollen sich direkt an den Messenger-Support wenden.

Meldungen von Nutzerinnen und Nutzern, die den Zugriff auf ihr Whatsapp-Konto verlieren, sind nicht neu. Auch in der 20-Minuten-Community gibt es immer wieder solche Fälle. Meist wurde ein PIN, den man zuvor als SMS erhalten hat, weitergegeben: Bei der Zahlenfolge handelt es sich um einen Verifizierungscode. Wird dieser weitergegeben, verliert man meist innerhalb von Minuten den Zugriff auf seinen Account.

Nun warnen aber Sicherheitsforscher vor einer neuen Masche. Damit können Angreifer Whatsapp-Konten sperren und dies nur mit der Handynummer der Zielperson. «Das sollte nicht passieren. Das darf nicht möglich sein. Nicht bei einem Messenger, der von zwei Milliarden Menschen genutzt wird», schreibt der Journalist Zak Doffman in einem entsprechende Artikel auf Forbes.com.

Zwei Schwachstellen

Er schildert in dem Artikel, wie zwei Sicherheitsforscher seinen Whatsapp-Account deaktiviert haben. «Luis Márquez Carpintero und Ernesto Canales Pereña warnten mich, dass sie mein Whatsapp sperren können. Ich war skeptisch – doch sie hatten Recht», schreibt Doffman.

«Die neu entdeckte Lücke betrifft zwei Whatsapp-Prozesse, die beide grundlegende Schwachstellen haben. Mit der Kombination der Schwachstellen lassen sich Whatsapp-Konten aus der Ferne deaktivieren», erklärt er. Alles was ein Angreifer dafür benötige, ist die Handynummer und ein paar Kniffs. Auf eine genaue Beschreibung verzichten wir bewusst an dieser Stelle.

«Nicht möglich, sich zu wehren»

«Jemanden aus Whatsapp auszusperren sollte nicht so einfach sein und sollte schon gar nicht funktionieren, wenn die Zweifaktorauthentifizierung eingeschaltet ist», schreibt Doffman. Mit der Entdeckung wollen die IT-Sicherheitsforscher auch noch auf ein anderes Whatsapp-Problem aufmerksam machen: «Bei Whatsapp gibt es keine Möglichkeit sich zu wehren, entdeckt zu werden. Jeder kann eine Telefonnummer eintippen und so das zugehörige Konto finden, sofern es existiert», heisst es im Text.

Whatsapp erklärt in einem Statement, dass die «identifizierten Umstände» gegen die Nutzungsbedingungen verstossen. Alle, die Hilfe bei diesem «unwahrscheinlichen Problem» benötigen, können sich an den Support wenden. Der Kontakt findet sich in den Einstellungen unter dem Menüpunkt Hilfe. Ausserdem könne bei der Aktivierung der Verifizierung in zwei Schritten neben der Handynummer zusätzlich eine E-Mail-Adresse angegeben werden.

My 20 Minuten

Als Mitglied wirst du Teil der 20-Minuten-Community und profitierst täglich von tollen Benefits und exklusiven Wettbewerben!

Als Mitglied wirst du Teil der 20-Minuten-Community und profitierst täglich von tollen Benefits und exklusiven Wettbewerben!

Digital-Push

Wenn du den Digital-Push abonnierst, bist du über News und Gerüchte aus der Welt von Whatsapp, Snapchat, Instagram, Samsung, Apple und Co. informiert. Auch erhältst du Warnungen vor Viren, Trojanern, Phishing-Attacken und Ransomware als Erster. Weiter gibt es Tricks, um mehr aus deinen digitalen Geräten herauszuholen.

So gehts: Installiere die neuste Version der 20-Minuten-App. Tippe unten rechts auf «Cockpit», dann «Einstellungen» und schliesslich auf «Push-Mitteilungen». Beim Punkt «Themen» tippst du «Digital» an – et voilà!

Deine Meinung

24 Kommentare