Ein kürzlich entdeckter Fehler ermöglicht, bei Kenntnis ihrer Telefonnummer, die Sperrung ihres WhatsApp-Kontos. Laut eines Berichts von Forbes, entsteht der Fehler durch Ausnutzung zweier voneinander unabhängiger WhatsApp Sicherheitsfunktionen. Das Magazin bezieht sich auf die Erkenntnisse der Sicherheitsforscher Luis Márquez Carpintero und Ernesto Canales Pereña.
Das Problem hat mit der Art und Weise zu tun, wie WhatsApp bestätigt, dass Nutzer die richtige Telefonnummer angeben. Alle WhatsApp-Nutzer kennen den initialen Einrichtungsprozess von WhatsApp auf Smartphones. Dabei werden Sie nach Ihrer Telefonnummer gefragt, an die ein Bestätigungscode gesendet wird. Sobald Sie den Code eingegeben haben, werden Sie aufgefordert, Ihre 2FA-Nummer (Zwei-Faktor-Authentifizierung) einzugeben, um Ihre Identität zu bestätigen.
Es gibt jedoch keine Möglichkeit, jemanden daran zu hindern, Ihre Nummer für den Überprüfungsprozess zu verwenden. Wenn ein Angreifer dies tun würde, würden Sie Anrufe und Nachrichten von WhatsApp erhalten. In diesen wäre ein Bestätigungscode und eine Benachrichtigung, in der Sie aufgefordert werden, den Registrierungscode nicht an Dritte weiterzugeben. Der Kriminelle könnte dies wiederholt tun, wohingegen Sie die Nachrichten möglicherweise als Fehler einstufen und ignorieren.
Die Anfragen des Bestätigungscodes würden letztendlich das von WhatsApp gesetzte Limit für das Senden der Codes auslösen und dazu führen, dass Codes nach mehreren falschen Versuchen blockiert werden – beides geschieht für 12 Stunden. Die Sperre würde sich auch auf Sie, als rechtmäßigen Inhaber des WhatsApp-Kontos, auswirken. Wahrscheinlich würden Sie es nur bemerken, falls Sie sich in der Zwischenzeit aus dem Messenger ausloggen.
Im nächsten Schritt erstellt der Angreifer eine neue E-Mail-Adresse und sendet eine E-Mail an den WhatsApp-Support mit dem Betreff "verlorenes/gestohlenes Telefon" und fordert ihn auf, Ihre Nummer zu deaktivieren. Anscheinend überprüft die Plattform die "Identität" des Angreifers nur mit einer automatischen E-Mail, in der die Nummer angegeben werden muss. Wenn der Nachahmer dies tut, dann wird WhatsApp Ihr Konto sperren. Da das Limit für Überprüfungsversuche schon erreicht wurde, können Sie sich erst anmelden, wenn die 12-Stunden-Sperre abgelaufen ist.
VERWANDTER ARTIKEL: Wurmfähige Android‑Malware verbreitet sich über WhatsApp‑Nachrichten
Falls der Angreifer aber drei Mal hintereinander die 12-Stunden-Sperre auslöst, stürzt WhatsApp ab. Statt den Benutzer aufzufordern es nach 12 Stunden erneut zu versuchen, erscheint nun die Meldung "Versuchen Sie es nach -1 Sekunden erneut". Die beiden Forscher warnten, dass es in diesem Stadium keine Möglichkeit mehr gibt das Konto zurückzugewinnen, es sei denn man findet einen Ansprechpartner bei WhatsApp, der bereit ist zu helfen.
Im Gespräch mit Forbes sagte ein WhatsApp-Sprecher: „Die Angabe einer E-Mail-Adresse beim zweistufigen Bestätigungsprozess, hilft unserem Kundendienstteam dabei Nutzern zu helfen, wenn diese auf ein so unwahrscheinliches Problem stoßen. Die von dem Forscher festgestellten Umstände würden gegen unsere Nutzungsbedingungen verstoßen und wir ermutigen jeden, der Hilfe benötigt, eine E-Mail an unser Support-Team zu senden, damit wir dem nachgehen können.“
Auch dem ESET Sicherheitsspezialisten Jake Moore fiel dieses Problem kürzlich auf, als er zeigte, wie jemand die Kontrolle über Ihr WhatsApp-Konto übernehmen kann, wenn er nur Ihre Telefonnummer kennt. Moore warnte davor, dass diese neue Schwachstelle nicht auf die leichte Schulter genommen werden sollte, da sie Millionen betreffen könnte und relativ leicht ausnutzbar ist.
"Es gibt keine Möglichkeit, der Entdeckung auf WhatsApp zu entgehen", sagte er. „Jeder kann eine Telefonnummer eingeben, um ein möglicherweise damit verbundenes WhatsApp-Konto zu finden, wenn es existiert. Eine stärkere Ausrichtung auf Datenschutz, könnte Nutzer vor diesem Problem schützen, genauso wie der Zwang eine zweistufige Verifizierungs-PIN zu nutzen.“