Ein Schlupfloch im Messenger Whatsapp macht es Angreifern möglich, den Account von Nutzern zu sperren - die Prozedur dauert allerdings 36 Stunden.
Die beiden Sicherheitsexperten Luis Márquez Carpintero und Ernesto Canales Pereña haben ein Sicherheitsproblem beim beliebten Messenger Whatsapp entdeckt. Im Wirtschaftsmagazin Forbes erklären sie in dieser Woche, wie es Angreifern theoretisch möglich ist, Whatsapp-Nutzer über ein Schlupfloch aus der App auszusperren. Hacker müssen dafür jedoch jede Menge Geduld mitbringen, denn die Prozedur dauert insgesamt 36 Stunden.
Meint es der Angreifer jedoch ernst, muss er die folgenden Schritte vornehmen. Nachdem er sich Whatsapp auf seinem Mobilgerät installiert hat, versucht er, sich über die Handynummer seines Opfers beim Messenger einzuloggen und fordert einen Authentifizierungscode an. Nachdem die Anforderung dieses Codes mehrfach wiederholt wurde, sperrt Whatsapp die Sendung von weiteren Authentifizierungscodes für zwölf Stunden. In der Zwischenzeit erstellt sich der Angreifer eine neue E-Mail-Adresse und schickt eine Anfrage für ein verlorenes oder gestohlenes Smartphone an Whatsapp. Auf diese Weise kann er den Whatsapp-Account seines Opfers deaktivieren lassen.
Hier kommt das Schlupfloch bzw. die Sicherheitslücke zum Tragen. Whatsapp verifiziert nicht, ob die E-Mail-Adresse von der die Anfrage gesendet wurde, auch tatsächlich zum Account gehört und sperrt das Opfer des Angreifers auf diese Weise aus der App aus. Im Anschluss muss der Hacker den zwölfstündigen Wartezyklus für die zahlreichen angeforderten Authentifizierungscodes zwei Mal wiederholen. Am Ende dieser drei Zyklen sehen sowohl der Angreifer als auch sein Opfer in Whatsapp den Hinweis "Versuchen Sie es erneut in -1 Sekunde", während sie versuchen, sich über die selbe Nummer einzuloggen. In diesem Fall bleibt dem Opfer nichts anderes übrig, als Kontakt mit dem Whatsapp-Support aufzunehmen, um seinen Account wieder herzustellen.
Die Sicherheitsexperten betonen, dass auf diese Weise keine persönlichen Daten des Whatsapp-Nutzers gestohlen werden können. Die Prozedur führt lediglich dazu, dass er aus seinem Whatsapp-Account ausgesperrt wird und eine Support-Anfrage auf sich nehmen muss, um ihn zurück zu bekommen. Nur wenige Angreifer würden wahrscheinlich das 36-stündige Prozedere auf sich nehmen, um den Account ihres Opfers zu sperren. Das Schlupfloch zeigt jedoch ein Sicherheitsproblem bei Whatsapp auf: Der Support bittet den Nutzer nicht, sich als Account-Besitzer zu verifizieren. In einer Stellungnahme erklärt Whatsapp, dass Nutzer in ihrer Zwei-Faktor-Authentifizierung eine E-Mail-Adresse hinterlegen können, um dieses unwahrscheinliche Problem zu umgehen.