Sicherheitsforscher & Big Data. Eine Studie der Uni Wien hat gravierende Mängel beim Meta-Kommunikationsdienst WhatsApp aufgedeckt: Milliarden User waren auffindbar.
Forscherinnen und Forscher der Universität Wien und von SBA Research haben eine gravierende Sicherheitslücke im sogenannten Contact-Discovery-Mechanismus von WhatsApp entdeckt. Mithilfe dieser Lücke war es möglich, weltweit eine umfassende Erfassung von WhatsApp-Nutzern durchzuführen und rund 3,5 Milliarden Konten zu identifizieren.
Die Untersuchungen zeigten, dass mehr als 100 Millionen Telefonnummern pro Stunde abgefragt werden konnten, was eine beispiellose Gesamtauswertung erlaubte. In Zusammenarbeit mit den Forschenden hat WhatsApp die Sicherheitslücke inzwischen geschlossen.
Öffentliche Daten einsehbar
Durch den Missbrauch des Mechanismus konnten öffentliche Daten wie Telefonnummern, öffentliche Schlüssel, Zeitstempel sowie Profilbilder und „About“-Texte gesammelt werden, sofern diese öffentlich zugänglich waren. Aus diesen Informationen ließen sich weitere Metadaten ableiten, etwa zum Betriebssystem, dem Alter des Kontos und der Anzahl verbundener Sekundärgeräte wie WhatsApp Web.
Die Analyse ergab, dass Millionen aktiver WhatsApp-Konten selbst in Ländern aktiv sind, in denen der Dienst offiziell verboten ist, darunter China, Iran und Myanmar. Darüber hinaus wurde analysiert, dass rund 81 Prozent der Nutzerinnen und Nutzer Android-Geräte verwenden, während 19 Prozent iOS-Geräte nutzen.
Alte Schlüssel verwendet
Regionale Unterschiede zeigten sich auch im Datenschutzverhalten, etwa bei der Nutzung öffentlicher Profilbilder oder individueller Beschreibungstexte. In Einzelfällen wurde eine Wiederverwendung kryptografischer Schlüssel über verschiedene Geräte oder Telefonnummern hinweg festgestellt, was auf Schwächen bei inoffiziellen WhatsApp-Clients oder betrügerische Nutzungen hinweist. Zudem waren fast die Hälfte aller Telefonnummern, die bereits im Facebook-Datenleck von 2021 auftauchten, weiterhin auf WhatsApp aktiv. Dies weist auf ein fortbestehendes Risiko für kompromittierte Nummern hin.
Die Untersuchung, deren Ergebnisse vor kurzem veröffentlicht wurden, erfasste keine Nachrichteninhalte; es wurden keine personenbezogenen Daten veröffentlicht oder weitergegeben – alle erhobenen Informationen wurden vor Veröffentlichung gelöscht, heißt es in einer Aussendung der Universität Wien. Der Nachrichteninhalt von WhatsApp selbst sei Ende-zu-Ende-verschlüsselt und blieb daher zu jeder Zeit geschützt.
Dennoch zeige die Studie, dass Metadaten trotz Verschlüsselung erhebliche Datenschutzrisiken bergen können, wenn sie in großem Umfang gesammelt und ausgewertet werden. Die Forschenden betonen, dass selbst gut etablierte und als sicher geltende Systeme Fehler enthalten können, die reale Folgen haben. Das zur Meta-Gruppe gehörende WhatsApp hat daraufhin Schutzmechanismen wie Rate-Limiting und strengere Sichtbarkeitsbeschränkungen für Profilinformationen eingeführt.
Täglich aktuell über Neues informiert werden:
Zu diesem Thema:
