Die Schwachstelle betraf das Kontaktabgleichssystem von WhatsApp, das prüft, ob Nummern im Adressbuch eines Geräts auf der Plattform registriert sind. Forscher zeigten, dass der Mechanismus missbraucht werden konnte, um Registrierungen über ganze Regionen hinweg zu bestätigen und öffentlich sichtbare Profildaten auszulesen. Das Problem löste Datenschutzbedenken aus – trotz der starken Ende-zu-Ende-Verschlüsselung für Nachrichteninhalte.
Wie die Sicherheitslücke funktionierte
WhatsApp verknüpft Telefonnummern während der Kontaktentdeckung mit bestehenden Konten. Dieser Prozess hilft Nutzern zu sehen, welche ihrer Kontakte die App bereits verwenden.
Forscher fanden heraus, dass sie große Zahlenfolgen automatisiert einreichen konnten. Das System antwortete mit Daten, die offenlegten, welche Nummern aktiven Konten zugeordnet waren. Die Antworten enthielten öffentlich sichtbare Metadaten wie Profilbilder oder „Info“-Texte, sofern die Nutzer ihre Sichtbarkeit nicht eingeschränkt hatten.
Die Forscher berichteten, dass sie Telefonnummern extrem schnell verarbeiten konnten. Sie stellten fest, dass dem System wirksame Begrenzungen oder Schutzmechanismen fehlten. Dadurch wurde eine kontinuierliche, ununterbrochene Nummernabfrage möglich.
Welche Daten gesammelt werden konnten
Die WhatsApp-Sicherheitslücke legte keine Nachrichteninhalte oder privaten Chats offen. Die Ende-zu-Ende-Verschlüsselung der Plattform blieb vollständig intakt.
Die offengelegten Metadaten waren dennoch riskant. Sie umfassten:
- Telefonnummern aktiver Konten
- Profilbilder, wenn öffentlich sichtbar
- „Info“-Texte, sofern nicht eingeschränkt
- Registrierungsstatus
- Zeitstempel zur Kontoerstellung
Diese Informationen können gezieltes Phishing, Stalking, Geräteverfolgung, koordinierte Betrugsversuche und die Identifizierung von Nutzern über andere Plattformen hinweg ermöglichen. Die Schwachstelle machte es Angreifern möglich, die Präsenz von Nutzern über ganze Länder hinweg zu kartieren.
Warum die Offenlegung wichtig ist
Metadaten verraten oft mehr, als Nutzer erwarten. Wenn Angreifer Telefonnummern aktiver WhatsApp-Konten identifizieren, können sie Social-Engineering-Angriffe wesentlich einfacher durchführen.
Dies ist besonders problematisch in Regionen, in denen die Nutzung von WhatsApp politische oder soziale Risiken birgt. Personen in restriktiven Umgebungen könnten aufgrund ihrer reinen Mitgliedschaft in einem Messenger-Dienst ins Visier geraten.
Die Sicherheitslücke zeigte zudem, wie ein einziges schwaches Element das Vertrauen in die Datenschutzversprechen einer Plattform untergraben kann. Selbst ohne Nachrichtenleaks kann die Möglichkeit, Milliarden von Telefonnummern zu überprüfen, ein systemisches Risiko darstellen.
Metas Reaktion
Meta bestätigte die Forschungsergebnisse und teilte mit, dass neue Schutzmaßnahmen eingeführt werden. Das Unternehmen plant stärkere Anti-Scraping-Mechanismen und deutlich aggressivere Ratenbegrenzungen. Meta betonte auch, dass es keine Hinweise darauf gibt, dass die Schwachstelle vor der Offenlegung in großem Umfang ausgenutzt wurde.
Nutzer werden aufgefordert, die Sichtbarkeit ihrer Profilbilder, „Info“-Texte und „Zuletzt online“-Angaben einzuschränken. Diese Einstellungen reduzieren die Angriffsfläche, selbst wenn zukünftige Schwachstellen auftreten.
Fazit
Die WhatsApp-Sicherheitslücke offenlegte eine erhebliche Datenschutzlücke im Kontaktentdeckungssystem. Angreifer konnten Metadaten sammeln, Registrierungen bestätigen und die Nutzerpräsenz in großem Umfang kartieren. Obwohl Nachrichteninhalte geschützt blieben, zeigte die Schwachstelle, wie sensibel Metadaten sein können, wenn eine zentrale Funktion keine ausreichenden Schutzmechanismen besitzt. Metas Verbesserungen sind ein Schritt nach vorn, aber Nutzer sollten weiterhin auf ihre Privatsphäre-Einstellungen achten.
0 Antworten zu „WhatsApp-Sicherheitslücke legt Nutzermetadaten in großem Umfang offen“