Aktuelle Themen
WhatsApp-Nutzer können aus ihrem Account ausgeschlossen werden, ohne, dass sie etwas dagegen ausrichten können. Das berichtet das Magazin «Forbes» mit Berufung auf die Sicherheitsforscher Canales Pereña und Luis Márquez.
Die Angriffsmethode der Forscher nutzt den Registrierungsprozess von WhatsApp aus: Wer sich bei WhatsApp anmeldet, muss eine Handynummer angeben. Im Anschluss erhalten Nutzer eine SMS mit einem PIN zur Registrierung. Wer seinen Account mit einer Zwei-Faktor-Authentifizierung gesichert hat, muss zudem noch einen festgelegten Code eintippen.
Nutzer müssen zur Registrierung aber nicht die Nummer eingeben, die sich in der SIM-Karte des Smartphones befindet. Jeder kann hier eine beliebige Nummer eintippen. Angreifer nutzen also die Nummer, die sie sperren möchten.
Da die Angreifer den Freischaltcode nicht erhalten – der geht ja an den wahren Besitzer der Nummer – können sie hier nur einen Code raten. Wenn Angreifer den Code oft genug falsch eingeben, sperrt WhatsApp als Reaktion den Registrierungsprozess für zwölf Stunden.
Wenn Angreifer nach Ablauf der zwölf Stunden das Ganze mehrmals erneut versuchen, wird die Zeit auf «-1 Sekunden» gesetzt. Eine Registrierung ist dann nicht mehr möglich.
Wer WhatsApp bereits nutzt, dürfte sich daran jedoch nicht stören, sondern höchstens von den vielen SMS (und eventuell Anrufen) genervt sein. Doch die Angreifer gehen nun zum zweiten Schritt: Sie erstellen eine neue Mail-Adresse (mit Namen des Opfers) und schreiben dem WhatsApp-Support, dass der Account mit der ausgewählten Handynummer doch bitte gesperrt werden soll. Im Normalfall laufe das problemlos ab – auch, weil es sich wohl um einen automatischen Prozess handele, schreiben die Forscher.
Der betroffene Nutzer ist nun aus seinem Account ausgesperrt und kann sich auch nicht mehr einloggen. In diesem Fall bleibt nur noch eins: «Sie müssen WhatsApp kontaktieren und versuchen, jemanden zu finden, der Ihnen helfen kann», zitiert «Forbes» die Sicherheitsforscher.
Im Grunde handelt es sich dabei um keine neue Methode – auch, wenn sie vielen Menschen unbekannt war: Sogenannte WhatsApp-Crasher gehen seit Längerem ähnlich vor, um unliebsame Nutzer auszusperren. In der Szene wird dabei von «ausloggen» gesprochen.
WhatsApp-Crasher sind eine Subkultur, die aus Spass – manchmal aber auch aus persönlichen Gründen – sogenannte Textbomben verteilen. Dabei handelt es sich um Zeichenketten, die WhatsApp abstürzen lassen können. Mehr dazu liest du hier beim watson-Medienpartner T-Online.
Nutzer müssen aktuell besonders aufpassen: Denn durch ein Leck bei Facebook sind Millionen Nutzerdaten im Umlauf, darunter auch Handynummern. Wie Sie herausfinden können, ob Sie vom Datenleck betroffen sind, lesen Sie hier .
Laut den Sicherheitsforschern gebe es bisher auch keinen Schutz gegen die Angriffsmethode. Zwar bietet WhatsApp die Möglichkeit, das Konto per Zwei-Faktor-Authentifizierung zu sichern. Doch auch das schütze nicht davor, dass der Account gesperrt werden kann, wie sie gezeigt haben.
Auf Anfrage von «Forbes» wies ein Sprecher von WhatsApp darauf hin, dass ein Missbrauch der Deaktivierungsfunktion gegen die Nutzungsrichtlinien von WhatsApp verstosse. Das Unternehmen beschrieb die Attacke als «unwahrscheinliches Problem» und rät, in der Zwei-Faktor-Authentifizierung eine E-Mail-Adresse einzugeben.
Das könne dem Kundenservice helfen, den Nutzer des Accounts leichter zu identifizieren. Die Option dazu finden Sie bei WhatsApp in den «Einstellungen» unter «Account», dann «Verifizierung in zwei Schritten». Ob WhatsApp an einer Lösung an dem Problem arbeite, wollte das Unternehmen nicht sagen.
(dsc/t-online)
neutrino
Rethinking
Dadurch erhält WhatsApp dann neben neben meiner Handynummer auch noch meine Mailadresse...
Das dürfte dem Konzern gefallen...
NoNo JaJa
Genau. Geben Sie bitte soviel persönliche Daten an wie nur möglich, damit wir ein genaueres Profil von Ihnen erstellen können.
Da fragt man sich, ob das ein Bug oder ein Feature ist 😀