WhatsApp füllt die Negativschlagzeilen mit einer weiteren dramatischen Sicherheitslücke. Jeder kann Nutzer, deren Nummer er kennt, einfach aus WhatsApp ausschließen.
Und das schlimmste daran: WhatsApp bzw. Facebook wissen davon, sorgen aber nicht dafür, dass man sich gegen mögliche Angreifer wehren kann.
Jeder kann jeden aussperren, es reicht die Nummer zu kennen
WhatsApp ist in der Bedienung extrem einfach. Jeder kann die App herunterladen, braucht dann nur seine Handynummer eingeben und mittels des per SMS versendeten Kontroll-Code bestätigen, dass man die Person mit der angegebenen Handynummer ist. Danach kann man den Messenger sofort mit seinem erstellten Account nutzen.
In diesem einfachen Aufbau liegt das Problem. Man braucht nur die Handynummer eines Nutzers kennen und dann versuchen sich mit dieser anzumelden. WhatsApp verschickt dann automatisch einen Code an das Smartphone des eigentlichen Nutzers. Der Angreifer bekommt diesen Code natürlich nicht, gibt aber einfach einen falschen Code ein. Macht er das mehrmals, dann wird ein neuer Code erst nach Ablauf von 12 Stunden versendet.
Sieht der Angreifer nun, dass ein erneuter Code Versand nicht mehr möglich ist, dann schreibt er, wie bekannt wurde, von eigens eingerichteten Fake-E-Mail-Adresse eine Nachricht an den WhatsApp Support und behauptet, dass er sein Smartphone verloren habe. Daraufhin sperrt WhatsApp den Account ohne zu überprüfen, ob die E-Mail-Adresse des Absenders zur Handynummer passt. Wenigstens lässt sich auf diese Weise nur die Nummer sperren, aber nicht übernehmen.
Was kann man tun, wenn man Opfer eines Angriffs wurde?
Gegen die Sperrung zunächst einmal nichts. Es ist aber jetzt sinnvoll seine echte E-Mail-Adresse bei WhatsApp zu hinterlegen. Dann hat man wie Möglichkeit seinen Account später wieder freischalten zu lassen.
Der Weg dahin:
1. zu den Einstellungen von WhatsApp gehen
2. Account und Verifizierung in zwei Schritten
3. nicht nur den PIN aktivieren, sondern auch eine E-Mail-Adresse hinzufügen
Das Problem ist WhatsApp bekannt. Allerdings plant man nicht etwas daran zu ändern. Die Sicherheitslücke als solche wird wohl nicht häufig genug genutzt, weil sich dadurch kein Profit schlagen lässt. Angreifer gelangen nicht an Daten, sondern können dem Betroffenen nur Arbeit und Ärger bereiten.