Jeder kann Ihren Whatsapp-Account sperren – und Sie können nichts dagegen tun
Kein Kontakt zu den Freunden, den Kollegen, der Familie, der Klassengruppe oder dem digitalen Stammtisch: Plötzlich komplett aus Whatsapp ausgesperrt zu sein, dürfte für viele Menschen ein Albtraum sein. Schließlich ist der Messenger für die meisten Deutschen die mit Abstand wichtigste App. Doch genau das kann eine beliebige Person Ihnen antun. Nötig ist dafür nur ihre Telefonnummer.
Das ist gerade von Sicherheits-Experten entdeckt worden, berichtet “Forbes”. Demnach lassen sich beliebige Whatsapp-Accounts abknipsen, indem man zwei Sicherheitslücken kombiniert, die an sich keinen Schaden verursachen können. Besonders dramatisch: Für den Angriff braucht man keine weiteren Hilfsmittel als eine beliebige E-Mail-Adresse. Und sie funktioniert auch, wenn zur Sicherung des Accounts die Zwei-Faktor-Authentifizierung eingeschaltet wurde.
Whatsapp: So funktioniert die Sperr-Attacke
Die Attacke setzt bei zwei Maßnahmen an, die eigentlich den Nutzern helfen sollen. Meldet man sich mit einem neuen Smartphone bei Whatsapp an, muss man sich per SMS-Code für das Gerät verifizieren. Genau das tun nun die Angreifer. Die SMS landen zwar bei der Person, der der Account eigentlich gehört. Doch die kann nichts damit anfangen. Die Maske zur Eingabe der Codes erscheint nur auf dem neuen Gerät. Das Ziel der Angreifer ist ohnehin ein anderes: Lässt man sich zu viele der SMS schicken, schiebt Whatsapp dem irgendwann einen Riegel vor – und erlaubt für 12 Stunden keine weiteren Anfragen.
Für die Betroffenen ist das bis hierher erst einmal kein Problem: Sie können Whatsapp ganz normal nutzen. Bis auf den SMS-Spam mit Sicherheits-Anfragen haben sie keinen Nachteil, solange sie nicht zufällig gerade selbst in diesem Moment Whatsapp auf ein anderes Gerät übertragen wollen. Doch nun setzt Stufe zwei ein.
Plötzlich gesperrt
Auch hier handelt es sich eigentlich um eine Sicherheitsmaßnahme. Um einen gestohlenen Whatsapp-Account sperren zu können, bietet der Messenger die Option, per Mail eine Sperrung zu beantragen. Hat man noch keine hinterlegt, kann sich der Angreifer einfach mit einer anmelden. Und darüber dann den Account sperren. Kurze Zeit später erscheint plötzlich auch auf dem Smartphone des Opfers die entsprechende Meldung: Diese Telefonnummer sei nicht mehr bei Whatsapp registriert. Um das Problem zu beheben, soll man sich noch einmal per SMS verifizieren – doch genau diese Option ist ja nun zeitlich gesperrt, erfährt der Nutzer nun zum ersten Mal. Bis Ablauf der Sperrfrist ist man damit vom Messenger abgeschnitten.
Noch schlimmer wird diese Masche allerdings durch einen skurrilen Fehler bei Whatsapp, entdeckten die Sicherheitsexperten. Denn: Sperren die Angreifer die Code-Abfrage nicht nur ein- sondern insgesamt dreimal, kommt nicht mehr die 12-stündige Wartezeit. Stattdessen zeigt die App dann eine Wartezeit von -1 Sekunden an. Die vergeht natürlich nie: Der Account ist ohne weiteres nicht mehr freizuschalten.
Dass die Masche überhaupt funktioniert, liegt auch an Whatsapps Kundensupport: Offenbar reagiert der E-Mail-Support automatisiert auf die Anfrage nach der Account-Sperrung, eine Abfrage durch einen Mitarbeiter oder über die Telefonnummer scheint nicht stattzufinden. Letzteres ist durchaus nachvollziehbar: Wie soll Whatsapp schließlich sichergehen, dass eine Nummer die richtige ist, wenn es bei der Support-Anfrage gerade um die Kompromittierung dieser Rufnummer geht. Dass in der Kombination der unterschiedlichen Schritte aber unbedarfte Nutzer ohne ihr Zutun und ohne technische Kenntnisse von Seiten der Angreifer um ihren Account gebracht werden können, ist durchaus ein ernstzunehmendes Problem.
So reagiert Whatsapp auf den Fehler
Damit von “Forbes” konfrontiert, reagierte Whatsapps Mutterkonzern Facebook bemerkenswert. Es handle sich um ein “unwahrscheinliches Szenario”, sagte ein Sprecher dem Magazin. “Die von den Sicherheitsforschern beschriebenen Umstände würden unsere Nutzungsbedingungen verletzten”, betonte der Konzern, als würde das die Wahrscheinlichkeit eines Angriffs senken. Whatsapps Empfehlung: Um sich vor der Attacke zu schützen, sollten die Nutzer selbst eine E-Mail-Adresse hinterlegen. Das würde die Lücke für die Sperrung durch einen Dritten sperren. “Wir raten jedem, der Hilfe benötigt, unserem Support-Team eine Mail zu schreiben, damit diese sich den Fall ansehen können.” Ob man die genutzten Lücken und Fehler in nächster Zeit beheben werde, wollte der Sprecher dem Bericht zufolge nicht beantworten.
Den Nutzern, die nun Angst um ihren Account haben müssen, hilft das zunächst wenig. Immerhin gibt es ein klares Warnsignal: Erhält man plötzlich gleich mehrere Anfragen, einen Sicherheitscode bei Whatsapp einzutragen, ohne diese selbst angefragt zu haben, deutet das auf einen Versuch hin, den Account zu sperren. Dann ist allerdings schnelles Handeln gefragt: Nach dem Eintreten der ersten Sperre müssen die Angreifer mindestens 12 Stunden warten, um die nächste Welle zu starten. Noch einmal 12 Stunden später ist der Account im Zweifel aber dahin. In den 24 Stunden nach der ersten SMS-Welle sollte man also spätestens eine eigene Mail-Adresse eintragen. Und sofort selbst Kontakt mit Whatsapp aufnehmen.
Alternativ kann man aber natürlich auch die Attacke zum Anlass nehmen, sich nach Alternativen für den Messenger umzusehen. Die besten finden Sie in diesem Text.
