Techforscher fanden eine Sicherheitslücke, mit der Angreifer mithilfe von Handynummern WhatsApp-Nutzer aus ihrem Konto ausschließen können.
Allein die Handynummern reichen offenbar potenziellen Angreifern aus, um WhatsApp auf Geräten zu deaktivieren und Nutzer daran zu hindern, sich wieder einzuloggen. Selbst eine Zwei-Faktor-Authentifizierung verhindere diesen rätselhaften Vorgang nicht. Ursache des Problems ist unter anderem der vollständig automatisierte E-Mail-Support.
WhatsApp und die Registrierungsfunktion
Die Registrierungsfunktion von WhatsApp offenbart eine eklatante Sicherheitslücke, wie Forbes berichtet. Der Angriff ist wohl auch bei eingerichteter Zwei-Faktor-Authentifizierung möglich. Das behaupten die Techforscher Luis Márquez Carpintero und Ernesto Canales Pereña. Dieser neu entdeckte Security Gap betrifft zwei separate WhatsApp-Prozesse, deren Kombination letztlich zur Deaktivierung des Kontos führt.
So läuft der Angriff ab
Die Angreifer installieren zunächst WhatsApp auf ihren eigenen Smartphones. Bei der Eingabe können sie eine beliebige Nummer zur Registrierung angeben. Daraufhin sendet der WA-Dienst einen sechsstelligen Code per SMS an die angegebene Telefonnummer.
Das passiert nicht nur einmal, sondern en masse. Die Angreifer können dies tun, während der legitime Account-Besitzer die App ganz gewöhnlich weiter nutzt. Die davon betroffenen Nutzer erhalten inzwischen die SMS mit den Codes. Wegen der vielen Falschversuche sperrt WhatsApp die Funktion dann für zunächst zwölf Stunden. Irgendwann sind aber keine neuen Registrierungsversuche mehr möglich, weil die App zum erneuten Versuch in „-1 Sekunde“ aufruft. Nichts davon ist erst einmal ein gravierendes Problem. Es sei denn, das Konto wird nun deaktiviert – und das ist der Knackpunkt. Hier beginnt der zweite Teil des Problems.
Angreifer können automatisierten E-Mail-Support ausnutzen
Denn die Angreifer machen jetzt von einer weiteren Sicherheitslücke Gebrauch. Sie können das WhatsApp-Konto dank einer vorher nicht authentifizierten E-Mail-Adresse über den Support-Service deaktivieren, da der Prozess offenbar vollständig automatisiert ist. Der Angreifer macht sich also eine neue E-Mail-Adresse und schreibt den Kundendienst mit Verweis auf die jeweilige Handynummer an. Entsprechende Schlüsselwörter würden dann den Prozess der Deaktivierung einleiten. Es gibt keine Folgefragen, um den Besitz der Nummer zu authentifizieren
Circa eine Stunde später funktioniert WhatsApp nicht mehr auf dem Telefon und der Nutzer erhält eine Benachrichtigung: „Ihre Telefonnummer ist nicht mehr bei WhatsApp auf diesem Telefon registriert.“ Im Normalfall könnten User sich nach der Deaktivierung eines Accounts neu registrieren. Bei einem solchen Angriff sei der Nutzer wegen der vielen misslungenen Anmeldeversuche dazu nicht mehr in der Lage. WhatsApp gab bisher noch keine Auskunft darüber, ob es diese Schwachstelle in naher Zukunft behebt. Der Messenger-Dienst empfiehlt lediglich Nutzern, ihre echte E-Mail-Adresse zu hinterlegen.
Tarnkappe.info