Sicherheitslücke

WhatsApp: Dieser Hack kann jeden Account sperren

Von der nun bekannt gewor­denen Schwach­stelle des Chat-Programms sind zwar keine persön­lichen Daten, aber der gene­relle Zugriff betroffen. Mit viel Pech werden User aus ihrem WhatsApp-Account ausge­sperrt.
Von

Eine neu entdeckte Sicher­heits­lücke in WhatsApp macht es für alle Angreifer ohne jedwede Program­mier­kennt­nisse möglich, einen belie­bigen Account des Messen­gers lahm­zulegen. Der Hacker benö­tigt ledig­lich eine mit der Anwen­dung verknüpfte Handy­nummer. Auch die Zwei-Faktor-Authen­tifi­zie­rung hilft gegen diese Attacke nicht. Zunächst kann über besagte Methode eine tempo­räre Sper­rung des WhatsApp-Zugangs von zwölf Stunden erfolgen, anschlie­ßend ist eine perma­nente Sper­rung möglich. Dem Entwick­ler­studio ist die Schwach­stelle bekannt, es erkennt jedoch nicht die Notwen­dig­keit, diese zu schließen.

WhatsApp: Andere User lassen sich simpel aussperren

WhatsApp-Angriff über den Verifizierungscode WhatsApp-Angriff über den Verifizierungscode
Forbes Sicher­heits­for­scher wandten sich an Forbes, um auf eine brisante Lücke in WhatsApp hinzu­weisen. Sie würden Zack Doffman, einem Redak­teur des Maga­zins, von seinem Zugang des Messen­gers blocken können, lautete die Botschaft. Gesagt getan und nach der Prozedur hatte der Jour­nalist keine Möglich­keit mehr, sich in das Kommu­nika­tions­tool einzu­loggen. „Das ist ein besorg­nis­erre­gender Hack, der Millionen von Usern als Ziel einer Attacke betreffen kann. Es ist alar­mie­rend, mit welcher Leich­tig­keit das passieren kann“, warnt Jake Moore von ESET, einem Unter­nehmen für Sicher­heits­soft­ware.

Der Vorgang wird vom Opfer unwei­ger­lich bemerkt, dagegen vorgehen kann er aber nicht. Da ausschließ­lich das Login bei WhatsApp betroffen ist und keine persön­lichen Daten gefährdet sind, sieht das Entwick­ler­studio keinen Grund, einzu­greifen. Man geht nicht davon aus, dass die Attacke zum Einsatz kommt, da Hacker dadurch keine Vorteile hätten.

Wie funk­tio­niert der WhatsApp-Hack?

Zunächst muss der Angreifer auf seinem Smart­phone den Messenger mit der anvi­sierten Handy­nummer des Opfers instal­lieren. Nun fordert er den Veri­fizie­rungs­code so oft an, bis WhatsApp die Prozedur aufgrund zu vieler Falsch­ein­gaben zwölf Stunden lang pausiert. Wenn sich der betrof­fene User nicht ausloggt, gibt es keine Probleme, will er sich nach einem Logout wieder einloggen, muss er einen halben Tag warten. Aller­dings kann der Hacker weitere Schritte voll­ziehen, um im Auto­matismus der Veri­fizie­rung einen Fehler auszu­lösen. Anschlie­ßend können weder der Angreifer, noch der Nutzer neue Veri­fizie­rungs­codes anfor­dern. Weitere Screenshots des Hack-Vorgangs Weitere Screenshots des Hack-Vorgangs
Forbes Sollten Sie also unge­fragt entspre­chende WhatsApp-Codes auf Ihrem Smart­phone erhalten, sollten Sie sich sofort an den Support des Entwick­ler­stu­dios wenden. Die Zwei-Faktor-Authen­tifi­zie­rung hilft zwar nicht direkt gegen den Hack, aller­dings ist diese empfeh­lens­wert, da sich mit der hinter­legten E-Mail-Adresse die Iden­tität beim Kunden­ser­vice beweisen lässt, was eine erneute Frei­schal­tung ermög­licht.

WhatsApp-Chat­ver­läufe können bald auch beim Wechsel zwischen Android und iOS mitge­nommen werden. Die Funk­tion ist zusammen mit der Multi-Device-Unter­stüt­zung geplant.

Mehr zum Thema WhatsApp