Bei etablierten Apps wie WhatsApp fallen Verfehlungen manchmal erst sehr spät auf. Ein eher altes und doch drastisches Problem ist erstmals in diesen Tagen bekannt geworden. Im Grunde genommen lässt sich das Konto fremder Nutzer nämlich ganz leicht sperren. Hierfür braucht es nur wenige Schritte und lediglich die Rufnummer der angegriffenen Person. Eine Lösung existiert für diesen Fehler noch nicht. WhatsApp muss wohl zwingend handeln und nachbessern!
Ein „Angreifer“ kann versuchen, das mit eurer Rufnummer verknüpfte Konto auf einem eigenen Gerät anzumelden. Das geht übrigens schon immer. Allerdings kann selbst die aktivierte Zwei-Faktor-Authentifizierung die neu entdeckte Angriffsmethode nicht wirklich verhindern. Entscheidend ist dabei, dass der Angreifer gar nicht den echten Bestätigungs-Code kennen muss, welcher per SMS auf eurem Gerät ankommt, sondern einfach falsche Zahlen verwendet.
WhatsApp-Konto sperren lassen scheint kinderleicht möglich zu sein
Die ständige Eingabe der falschen statt richtigen Zahlen der einmaligen Code-SMS sorgt dafür, dass nach einigen Versuchen der Versand neuer Codes zunächst für 12 Stunden gesperrt wird. Nun kann der Angreifer mit eurer Rufnummer von einer eigenen E-Mail-Adresse aus auf WhatsApp zugehen und behaupten, dass sein Gerät verloren gegangen ist. Jetzt greift eine Automatik, die das jeweilige WhatsApp-Konto tatsächlich sperrt.
Es gibt keine Überprüfung, ob der Absender dieser Nachricht auch wirklich Inhaber der angegebenen Rufnummer ist. Das führt in Kombination zu dem Problem, dass euer WhatsApp-Konto gesperrt wird und ihr es auf eurem Gerät nicht sofort reaktivieren könnt, weil ihr aufgrund der oben beschriebenen „Sicherheitslücke“ für wenigstens 12 Stunden keine neuen Bestätigungs-Codes empfangt.
WhatsApp-Konten lassen sich sperren, aber nicht einfach übernehmen
Der beschriebene Vorgang kann sogar mehrmals wiederholt werden und irgendwann gibt das automatisierte System von WhatsApp auf und stellt den Versand neuer Bestätigungs-Codes komplett ein. Somit wäre euer WhatsApp-Konto gesperrt und ihr musstet wehrlos dabei zusehen. Helfen kann euch nur noch ein echter WhatsApp-Mitarbeiter, der allerdings schwer zu finden ist.
Es gibt allerdings auch eine positive Seite. Da ein WhatsApp-Konto über diese Methode nur gesperrt, jedoch nicht übernommen werden kann. Außerdem scheint diese Angriffsmethode derzeit keine Anwendung zu finden, weil sie dem Angreifer außer Arbeit keinen Vorteil bringt. Dennoch muss WhatsApp neue Methoden einführen, um die Inhaberschaft einer Rufnummer zu überprüfen.
Gut zu wissen, dass man nervige Leute schnell „beruhigen“ kann :D
12346