Diese WhatsApp-Sicherheitslücke ist ziemlich dumm, kann Sie jedoch auf unbestimmte Zeit von Ihrem Konto ausschließen

Sicherheitsforscher haben eine neue Sicherheitslücke in WhatsApp entdeckt, die es Angreifern ermöglicht, Sie ganz einfach aus Ihrem Konto auszusperren.

Sicherheitsforscher haben eine neue Sicherheitslücke in WhatsApp entdeckt, die möglicherweise mehr Benutzer dazu veranlassen könnte Beenden Sie den Facebook-eigenen Nachrichtendienst. Böswillige Akteure können diese Schwachstelle leicht ausnutzen, um Sie auf unbestimmte Zeit von Ihrem WhatsApp-Konto auszuschließen, was für die über 2 Milliarden Nutzer des Messengers mehr als nur eine kleine Unannehmlichkeit darstellt. Aber das ist nicht das Schlimmste.

Laut den Forschern Luis Márquez Carpintero und Ernesto Canales Pereña (über Forbes) benötigen Angreifer keine spezielle Software oder Schulung, um diese Schwachstelle auszunutzen. Sie benötigen lediglich Zugriff auf Ihre Telefonnummer. Sobald sie das haben, können sie Sie ohne großen Aufwand aus Ihrem WhatsApp-Konto aussperren. Und so funktioniert es.

WhatsApp erfordert eine Zwei-Faktor-Authentifizierung, wenn Sie sich auf einem neuen Gerät anmelden. Hierzu sendet der Dienst zur Verifizierung einen sechsstelligen Code an Ihre Telefonnummer. Falls Sie mehrmals den falschen Code eingeben, sperrt WhatsApp Ihr ​​Konto automatisch für 12 Stunden.

Prozess zur Überprüfung der Telefonnummer (Bild: Forbes)

Angreifer können dieses Zwei-Faktor-Authentifizierungssystem ausnutzen, indem sie WhatsApp auf einem neuen Gerät installieren, Ihre Telefonnummer eingeben und wiederholt den falschen Code eingeben. Dies verhindert zwar, dass Sie sich in den nächsten 12 Stunden auf einem neuen Gerät anmelden können, hat jedoch keine Auswirkungen auf Ihre aktuelle WhatsApp-Installation. Es wird weiterhin wie vorgesehen funktionieren.

Die Eingabe eines falschen Codes führt zu einer 12-stündigen Sperre (Bild: Forbes)

Um zu verhindern, dass Sie sich auf unbestimmte Zeit an einem neuen Gerät anmelden, muss ein Angreifer die oben genannten Schritte nur dreimal wiederholen. Beim dritten 12-Stunden-Zyklus unterbricht der Sperr-Timer der App und zeigt stattdessen einen „-1 Sekunden“-Timer an. Sobald dieser Fehler auftritt, lässt WhatsApp Sie die Anmeldung auf einem neuen Gerät überhaupt nicht mehr zu. Ihre aktuelle Installation funktioniert jedoch weiterhin. Damit ist der Exploit aber noch nicht beendet, denn er kann weiterverfolgt werden, um seine Wirkung drastisch zu erhöhen.

Fehler beim Countdown zur Telefonnummernüberprüfung, der -1 Sekunden anzeigt (Bild: Forbes)

Durch den letzten Schritt des Angreifers wird auch Ihre aktuelle Installation unterbrochen und Sie werden dauerhaft von Ihrem Konto ausgeschlossen. Dazu muss der Angreifer lediglich eine E-Mail an WhatsApp senden und den Dienst auffordern, Ihre Telefonnummer zu deaktivieren. WhatsApp sendet möglicherweise eine automatische Antwort, in der der Angreifer aufgefordert wird, die Nummer zu bestätigen. Sobald dieser die Nummer bestätigt, deaktiviert WhatsApp Ihr ​​Konto automatisch ohne Ihr Wissen.

E-Mail an den WhatsApp-Support, um das Konto zu deaktivieren (Bild: Forbes)

Ihre aktuelle WhatsApp-Installation funktioniert dann plötzlich nicht mehr und Sie sehen die folgende Benachrichtigung: „Ihre Telefonnummer ist auf diesem Telefon nicht mehr bei WhatsApp registriert. Dies kann daran liegen, dass Sie es auf einem anderen Telefon registriert haben. Wenn Sie dies nicht getan haben, bestätigen Sie Ihre Telefonnummer, um sich wieder bei Ihrem Konto anzumelden. Wenn Sie nun versuchen, Ihre Telefonnummer zu bestätigen, wird der Sperrtimer „-1 Sekunde“ angezeigt und Sie können sich überhaupt nicht anmelden.

WhatsApps automatisierte Antwort auf Deaktivierungs-E-Mail (Bild: Forbes)

Da dieser Angriff nicht besonders ausgefeilt ist, kann jeder, der Zugriff auf Ihre Telefonnummer hat, Sie innerhalb weniger Tage problemlos aus Ihrem WhatsApp-Konto aussperren. Daher muss WhatsApp dieses eklatante Problem sofort beheben.


Der Messenger wurde bereits auf das Problem aufmerksam gemacht. Als Reaktion auf die Offenlegung sagte ein WhatsApp-Sprecher Forbes Das „Die Angabe einer E-Mail-Adresse bei Ihrer zweistufigen Verifizierung hilft unserem Kundenservice-Team, Menschen zu helfen, falls sie jemals auf dieses unwahrscheinliche Problem stoßen sollten.“ Dass WhatsApp dies für ein „unwahrscheinliches“ Problem hält, dürfte für viele Nutzer Grund genug sein, sich von dem Dienst abzuwenden. Darüber hinaus fügte der Sprecher hinzu, dass diejenigen, die den Exploit versuchen würden, gegen die Nutzungsbedingungen von WhatsApp verstoßen würden. Als ob das alle Hacker abschrecken und Scherze davon abhalten würde, den Exploit an einem ahnungslosen Benutzer auszuprobieren.

Wir bitten unsere Leser dringend, diese Sicherheitslücke nicht auszunutzen, nicht weil ein Verstoß gegen die Nutzungsbedingungen von WhatsApp Ihnen eine Gefängnisstrafe einbringt, sondern weil es eine ziemlich beschissene Sache ist. Wenn Sie endlich bereit sind, zu einem anderen Dienst zu wechseln, schauen Sie sich unseren an Ausführlicher Leitfaden zu WhatsApp-Alternativen Das verdeutlicht alle Vor- und Nachteile eines Wechsels zu einer anderen Plattform.