Junge Frau mit neuer Rufnummer ist plötzlich im WhatsApp-Konto einer fremden Person (Symbolbild)
Junge Frau mit neuer Rufnummer ist plötzlich im WhatsApp-Konto einer fremden Person (Symbolbild)
Bildquelle: AntonLozovoy, Lizenz

Diese WhatsApp-Sicherheitslücke wird wohl niemals geschlossen

Durch eine seit Jahren bekannte Sicherheitslücke lassen sich fremde WhatsApp-Konten einfach übernehmen. Meta sieht die Schuld bei anderen.

Wer eine neue Handynummer erhält, könnte bei der Anmeldung in so manch einer App eine Überraschung erleben. Denn durch eine Sicherheitslücke landet er dabei nicht selten im WhatsApp-Konto einer völlig fremden Person. Doch Meta fühlt sich scheinbar nicht verantwortlich für dieses seit Jahren bekannte Problem.

WhatsApp-Schwachstelle erlaubt Account-Übernahme

Da es sich bei Rufnummern um eine endliche Ressource handelt, vergeben Mobilfunkprovider diese gerne mehrfach. Wenn ein Nutzer seine Handynummer somit nicht mehr benötigt, kann es vorkommen, dass nach einiger Zeit eine andere Person die gleiche Nummer erhält.

Für Dienste, deren Registrierung von der Rufnummer eines Benutzers abhängig ist, kann diese Vorgehensweise jedoch problematisch sein. So entsteht dadurch beispielsweise für den Messenger WhatsApp eine schon seit Jahren bekannte Sicherheitslücke, die sich in Kombination mit einem SIM-Swapping-Angriff sehr gezielt ausnutzen lässt.

Dabei können Personen mit einer vom Provider recycelten Handynummer spielend einfach das Konto des Vorbesitzers übernehmen. Sie nehmen folglich nicht nur dessen Namen und Profilfoto an, sondern erhalten außerdem Zugriff auf sämtliche neu eingehende Nachrichten und Gruppenchats. Alte Chatverläufe sind hingegen nicht gefährdet.

Die Sicherheitslücke in WhatsApp ist schon seit Jahren bekannt

Wie Gizmodo berichtet, war kürzlich der Sohn eines Datenschutz-Experten namens “Eric” in einen solchen Vorfall verwickelt. Er schloss einen neuen Handyvertrag ab und hatte durch die Sicherheitslücke plötzlich Zugriff auf das WhatsApp-Konto einer Frau, die offenbar die Vorbesitzerin seiner Rufnummer war.

“Er stellte fest, dass sein Konto mit dem einer anderen Person zusammengelegt worden war. Mein Sohn erhielt alle eingehenden Nachrichten, sogar Unterhaltungen über die Arbeit. Er begann, mit der Großmutter dieser Person und anderen Leuten zu sprechen, um ihnen zu erzählen, was passiert war.”

Eric

Schließlich wandte sich Eric an Meta und meldete das WhatsApp-Sicherheitsproblem. Doch der zuständige Mitarbeiter schloss sogleich das Ticket wies lediglich darauf hin, dass das Problem bekannt sei. Und in der Tat hatte das Nachrichtenmagazin Vice bereits im Jahr 2020 auf die Schwachstelle aufmerksam gemacht. Was sich seitdem geändert hat? Nichts.

Dass es sich jedoch um keine Einzelfälle handelt, konnte Eric ziemlich schnell beweisen. Nach dem Kauf zweier Prepaid-SIM-Karten gelang es ihm, das Szenario innerhalb weniger Minuten nachzustellen.

Telefongesellschaften und Nutzer sind schuld

Einem Sprecher das Unternehmens zufolge handle es sich jedoch weder um einen Fehler noch um eine Schwachstelle in WhatsApp. Stattdessen liege das Problem bei den Telefongesellschaften, die ihre Rufnummern in “extrem seltenen Fällen […] schneller als üblich wieder verkaufen”.

Weiterhin liege die Schuld zum Teil auch bei den Nutzern des Messengers. Denn wer beim Nummernwechsel ebenfalls sein WhatsApp-Konto sofort umziehe, beuge einer Ausnutzung der Sicherheitslücke vor.

Ferner schütze auch die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) vor einer unerwünschten Account-Übernahme. Zu finden ist diese in der Messenger-App unter “Einstellungen > Konto > Verifizierung in zwei Schritten”. Anwender sollten die dort vergebene PIN jedoch unbedingt an einem sicheren Ort aufbewahren, an dem sie nicht verloren geht.

Wer seinen Account auf eine neue Rufnummer umziehen oder ihn löschen möchte, findet dafür ebenfalls entsprechende Optionen in den Konto-Einstellungen des Messengers.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.