Nutzer des Messengers WhatsApp müssen darauf gefasst sein, dass ihnen der Dienst von beliebigen Angreifern einfach abgestellt wird. Nicht einmal eine Absicherung mit einer Zwei-Faktor-Authentifizierung kann einen entsprechenden Angriff verhindern.
Was die beiden Sicherheitsforscher Luis Márquez Carpintero und Ernesto Canales Pereña laut einem Bericht des Forbes-Magazines entdeckten, sollte in dieser Form eigentlich nicht möglich sein - vor allem nicht bei einer Plattform mit rund 2 Milliarden Nutzern: Es genügt lediglich die Telefonnummer, um einen Anwender aus der Ferne aus seinem Account auszusperren.
Das Problem ist dabei keineswegs eine Sicherheitslücke in der App selbst. Vielmehr kann der Angreifer die verschiedenen Mechanismen im Hintergrund geschickt ausnutzen. So beschäftigt man bei der Facebook-Tochter beispielsweise nicht massenhaft Leute, die Support-Anfragen abarbeiten, sondern lässt die meisten Fälle von einer KI bearbeiten. Das betrifft beispielsweise E-Mails, mit denen Nutzer melden wollen, dass ihr Account gestohlen worden ist.
Solche Mitteilungen erkennt die KI und fragt zur Sicherheit noch einmal nach der Telefonnummer, mit der dieser Account verbunden ist. Wird diese in einer zweiten E-Mail korrekt bestätigt, erfolgt erst einmal eine Stilllegung des Nutzerkontos. Der Anwender kann dann also erst einmal nicht auf seinen Messenger zurückgreifen, was ein erhebliches Problem darstellen kann, da viele User WhatsApp quasi als wichtigsten Kommunikationskanal für private und berufliche Zwecke nutzen.
Zweite Stufe nötig
Prinzipiell lässt sich die Sperrung relativ zügig wieder aufheben, indem man eine erneute Verifizierung der fraglichen Telefonnummer anstößt. Hier kommt nun aber eine zweite Ebene des Angriffs zum Tragen: Der Angreifer kann im Vorfeld bereits mehrfach versucht haben, eine Freischaltung eines neuen Gerätes in die Wege zu leiten. Geschieht dies mehrfach kurz hintereinander, werden weitere Versuche für einen Zeitraum von zwölf Stunden oder mehr ausgesetzt. Auch eine Neuanmeldung des regulären Users ist dann erst einmal nicht möglich.
Die fragliche Aktion bringt einen Angreifer nicht in den Besitz von Kommunikations-Inhalten, da er selbst ja nicht an einen Zugang kommt. Gleichwohl ist die Attacke aber gut geeignet, Anwender gezielt für einen gewissen Zeitraum auszusperren. Das kann verschiedene Motivationen haben: Entweder will der Täter das Opfer einfach nur ärgern, oder aber in einem bestimmten Moment dafür sorgen, dass dieser an einer wichtigen Diskussion in einer WhatsApp-Gruppe nicht beteiligt ist. Zumal es mit weiteren Tricks auch noch möglich ist, die Sperrung deutlich auszudehnen. Es ist nun also an WhatsApp, seine automatisierten Service-Systeme im Hintergrund schnell zu überarbeiten, um solche Attacken zu unterbinden.
Anmelden
Nutzer des Messengers WhatsApp müssen darauf gefasst sein, dass ihnen der Dienst von beliebigen Angreifern einfach abgestellt wird. Nicht einmal eine Absicherung mit einer Zwei-Faktor-Authentifizierung kann einen entsprechenden Angriff verhindern.
Was die beiden Sicherheitsforscher Luis Márquez Carpintero und Ernesto Canales Pereña laut einem Bericht des Forbes-Magazines entdeckten, sollte in dieser Form eigentlich nicht möglich sein - vor allem nicht bei einer Plattform mit rund 2 Milliarden Nutzern: Es genügt lediglich die Telefonnummer, um einen Anwender aus der Ferne aus seinem Account auszusperren.