DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die Social Media- und Instant-Messaging-Apps: Facebook, WhatsApp und Instagram auf einem Smartphone, fotografiert am Donnerstag, 14. Januar 2021, in Zuerich. Instagram und WhatsApp gehoeren zur Facebook-Gruppe. (KEYSTONE/Christian Beutler)

Die zum Facebook-Konzern gehörende Messenger-App hat eine massive Schwachstelle, die es Angreifern ermöglichen soll, jeden beliebigen WhatsApp-Account lahmzulegen. Bild: keystone

Mit diesem (einfachen) Angriff lässt sich jeder WhatsApp-User lahmlegen

Für viele ist WhatsApp das Kommunikationsmittel schlechthin. Sicherheitsforscher haben nun eine Methode gezeigt, mit der man Nutzer aus der App ausschliessen kann – ohne, dass sie etwas dagegen tun können.



Ein Artikel von

T-Online

WhatsApp-Nutzer können aus ihrem Account ausgeschlossen werden, ohne, dass sie etwas dagegen ausrichten können. Das berichtet das Magazin «Forbes» mit Berufung auf die Sicherheitsforscher Canales Pereña und Luis Márquez.

Wie geht das?

Die Angriffsmethode der Forscher nutzt den Registrierungsprozess von WhatsApp aus: Wer sich bei WhatsApp anmeldet, muss eine Handynummer angeben. Im Anschluss erhalten Nutzer eine SMS mit einem PIN zur Registrierung. Wer seinen Account mit einer Zwei-Faktor-Authentifizierung gesichert hat, muss zudem noch einen festgelegten Code eintippen.

Nutzer müssen zur Registrierung aber nicht die Nummer eingeben, die sich in der SIM-Karte des Smartphones befindet. Jeder kann hier eine beliebige Nummer eintippen. Angreifer nutzen also die Nummer, die sie sperren möchten.

Da die Angreifer den Freischaltcode nicht erhalten – der geht ja an den wahren Besitzer der Nummer – können sie hier nur einen Code raten. Wenn Angreifer den Code oft genug falsch eingeben, sperrt WhatsApp als Reaktion den Registrierungsprozess für zwölf Stunden.

Wenn Angreifer nach Ablauf der zwölf Stunden das Ganze mehrmals erneut versuchen, wird die Zeit auf «-1 Sekunden» gesetzt. Eine Registrierung ist dann nicht mehr möglich.

WhatsApp-Crasher loggen seit längerem Nutzer aus.

Wer WhatsApp bereits nutzt, dürfte sich daran jedoch nicht stören, sondern höchstens von den vielen SMS (und eventuell Anrufen) genervt sein. Doch die Angreifer gehen nun zum zweiten Schritt: Sie erstellen eine neue Mail-Adresse (mit Namen des Opfers) und schreiben dem WhatsApp-Support, dass der Account mit der ausgewählten Handynummer doch bitte gesperrt werden soll. Im Normalfall laufe das problemlos ab – auch, weil es sich wohl um einen automatischen Prozess handele, schreiben die Forscher.

WhatsApp-User können von ihrem eigenen Account ausgesperrt werden.

Wenn diese Fehlermeldung angezeigt wird, hat der Angreifer sein Ziel erreicht und das Opfer kann sich vorübergehend nicht bei WhatsApp anmelden. Screenshot: Forbes

Der betroffene Nutzer ist nun aus seinem Account ausgesperrt und kann sich auch nicht mehr einloggen. In diesem Fall bleibt nur noch eins: «Sie müssen WhatsApp kontaktieren und versuchen, jemanden zu finden, der Ihnen helfen kann», zitiert «Forbes» die Sicherheitsforscher.

Ist das neu?

Im Grunde handelt es sich dabei um keine neue Methode – auch, wenn sie vielen Menschen unbekannt war: Sogenannte WhatsApp-Crasher gehen seit Längerem ähnlich vor, um unliebsame Nutzer auszusperren. In der Szene wird dabei von «ausloggen» gesprochen.

WhatsApp-Crasher sind eine Subkultur, die aus Spass – manchmal aber auch aus persönlichen Gründen – sogenannte Textbomben verteilen. Dabei handelt es sich um Zeichenketten, die WhatsApp abstürzen lassen können. Mehr dazu liest du hier beim watson-Medienpartner T-Online.

Was kann man tun?

Nutzer müssen aktuell besonders aufpassen: Denn durch ein Leck bei Facebook sind Millionen Nutzerdaten im Umlauf, darunter auch Handynummern. Wie Sie herausfinden können, ob Sie vom Datenleck betroffen sind, lesen Sie hier .

Laut den Sicherheitsforschern gebe es bisher auch keinen Schutz gegen die Angriffsmethode. Zwar bietet WhatsApp die Möglichkeit, das Konto per Zwei-Faktor-Authentifizierung zu sichern. Doch auch das schütze nicht davor, dass der Account gesperrt werden kann, wie sie gezeigt haben.

Wie reagiert WhatsApp?

Auf Anfrage von «Forbes» wies ein Sprecher von WhatsApp darauf hin, dass ein Missbrauch der Deaktivierungsfunktion gegen die Nutzungsrichtlinien von WhatsApp verstosse. Das Unternehmen beschrieb die Attacke als «unwahrscheinliches Problem» und rät, in der Zwei-Faktor-Authentifizierung eine E-Mail-Adresse einzugeben.

Das könne dem Kundenservice helfen, den Nutzer des Accounts leichter zu identifizieren. Die Option dazu finden Sie bei WhatsApp in den «Einstellungen» unter «Account», dann «Verifizierung in zwei Schritten». Ob WhatsApp an einer Lösung an dem Problem arbeite, wollte das Unternehmen nicht sagen.

Quellen

(dsc/t-online)

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Archäologen finden verlorene Stadt in Ägypten

1 / 13
Archäologen finden verlorene Stadt in Ägypten
quelle: keystone
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

17 Dinge, die du deinem 20-jährigen Du sagen würdest

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel