Laut einem Bericht des Sicherheitsforschers Tal Be’ery weist der beliebte Messenger WhatsApp eine gravierende Schwachstelle auf, durch die Angreifer an sensible Daten über die Geräte anderer Nutzer gelangen können.
Demnach lassen sich über den Webclient von WhatsApp sowie die Entwicklertools des Browsers Identitätsschlüssel aus einer lokalen Datenbank abgreifen. Diese Schlüssel werden genutzt, um die Ende-zu-Ende-Verschlüsselung von WhatsApp-Nachrichten zu realisieren.
TL;DR: Metas WhatsApp leidet unter einem Datenschutzproblem, das die Einrichtungsinformationen der Opfergeräte (mobiles Gerät + bis zu 4 verknüpfte Geräte) an jeden Benutzer weitergibt, selbst wenn diese blockiert und nicht in den Kontakten enthalten sind. Die Überwachung dieser Informationen im Laufe der Zeit ermöglicht es potenziellen Angreifern, verwertbare Informationen über die Einrichtung der Geräte ihrer Opfer und Änderungen daran (ausgetauschtes/hinzugefügtes/entferntes Gerät) zu sammeln.
Tal Be’ery
Angreifer können auf diesem Weg anhand der Telefonnummer eines Opfers dessen Geräteinformationen wie die Anzahl der verwendeten Geräte und den Zeitpunkt von Gerätewechseln ausspionieren. Laut Be’ery ist dafür nicht einmal der Versand einer Nachricht erforderlich. Die Informationen werden schon vorab ausgetauscht, selbst wenn der angegriffene Nutzer die Nummer des Angreifers gar nicht kennt oder blockiert hat.
Meta sieht wohl kein Sicherheitsproblem
Wie Be’ery in seinem Bericht schreibt, hat er Meta bereits am 9. Januar 2024 auf diese Schwachstelle aufmerksam gemacht. Der Konzern habe dies jedoch nicht als Implementierungsfehler angesehen, da es sich um die intendierte Funktionsweise des Verschlüsselungsprotokolls von WhatsApp handle. Bisher gibt es für Nutzer keine Möglichkeit, die Preisgabe ihrer Gerätedaten zu kontrollieren oder einzuschränken.
Laut Be’ery könnte das Problem gelöst werden, indem der Austausch der Identitätsschlüssel auf die eigenen Kontakte beschränkt wird. Für WhatsApp-Nutzer bleibt vorerst nur erhöhte Vorsicht angeraten, zumal gezielte Angriffe auf Zweitgeräte oder kürzlich angeschaffte Geräte durch die entwendeten Informationen erleichtert werden. Es bleibt abzuwarten, ob Meta reagieren wird. Gegen eine weitere Nutzung von WhatsApp spricht die entdeckte Lücke aber nicht unbedingt.
Folge jetzt unserem WhatsApp-Kanal. Info: *provisionierte Affiliate-Links.