3,5 Mrd. WhatsApp-Konten: Wiener Forscher decken Mega-Lücke auf

Wiener Forscher haben eine große Sicherheitslücke in WhatsApp entdeckt. Durch die Schwachstelle im sogenannten Contact Discovery Mechanismus des Messengers konnten sie eine Gesamtauswertung aller WhatsApp-Konten weltweit durchführen und 3,5 Milliarden WhatsApp-Konten identifizieren, teilte die Universität Wien am Dienstag mit. 

WhatsApp hat der Aussendung zufolge das Problem inzwischen in Zusammenarbeit mit den Forscherinnen und Forschern behoben und die Lücke geschlossen.

Speichert man als WhatsApp-Nutzer eine neue Telefonnummer in sein Handy, sieht man rasch, ob es die Möglichkeit gibt, mit dieser Person über WhatsApp in Kontakt zu treten. Denn WhatsApp synchronisiert im Hintergrund das Telefonbuch mit dem Server von Meta, dem Betreiber von WhatsApp, erklärte Gabriel Gegenhuber von der Uni Wien gegenüber der APA. Der Informatiker hat mit seinen Kolleginnen und Kollegen von der Universität Wien und von SBA Research, einem Forschungszentrum für Informationssicherheit, gezeigt, wie dieser Contact Discovery Mechanismus für großflächige User-Enumeration missbraucht werden kann.

Mehr als 100 Mio. Telefonnummern pro Stunde abgefragt

Den Forschern gelang es so, mehr als 100 Millionen Telefonnummern pro Stunde bei dem Server abzufragen. Dadurch konnten sie schließlich mehr als 3,5 Milliarden aktive Konten weltweit bestätigen. Ob das tatsächlich alle existierenden WhatsApp-Konten sind, wissen die Informatiker nicht exakt, "so grob müsste es aber hinkommen", es sei jedenfalls die Untergrenze, so Gegenhuber.

"Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit und von einer Quelle bzw. von einem Server beantwortet werden", erklärte Gegenhuber. Aufgrund der Sicherheitslücke konnten die Forscher allerdings unbegrenzt Anfragen an den Server stellen und so schließlich eine weltweite Erhebung machen.

Zusätzliche Metadaten extrahiert

Dadurch konnten sie Daten wie Telefonnummer, die für die Ende-zu-Ende-Verschlüsselung notwendigen öffentlichen Schlüssel, Zeitstempel und - falls öffentlich eingestellt - Profilbild und About-Text sammeln. Aus diesen Daten war es den Experten möglich, zusätzliche Metadaten zu extrahieren, die Rückschlüsse auf das Betriebssystem von Nutzern, das Alter des Kontos sowie die Anzahl der verbundenen Sekundärgeräte, etwa für WhatsApp Web, zuließen.

Risiko für kompromittierte Nummern

Das Forschungsteam konnte so auch Millionen aktive WhatsApp-Konten in Ländern identifizieren, in denen die Plattform offiziell verboten ist, etwa in China, Iran und Myanmar. Sie zeigten weiters, dass fast die Hälfte aller Telefonnummern, die im Facebook-Datenleck von 2021 auftauchten, weiterhin auf WhatsApp aktiv waren. Bei diesem Leck wurden damals die persönlichen Daten von mehr als 530 Millionen Facebook-Nutzern weltweit im Internet veröffentlicht. 

Für die Wiener Forscher verdeutlicht dies ein anhaltendes Risiko für kompromittierte Nummern, etwa um das Ziel von Scam Calls zu werden.

Meta schloss Schwachstelle

Die Experten konnten auch einige allgemeine Erkenntnisse über WhatsApp-Nutzer erlangen. Dazu zählt die weltweite Verteilung von Android- (81 Prozent) gegenüber iOS-Geräten (19 Prozent), regionale Unterschiede im Datenschutzverhalten, etwa bei der Verwendung öffentlicher Profilbilder oder About-Texte, sowie Unterschiede in der Aktivität und dem Wachstum von WhatsApp-Konten in verschiedenen Ländern.

Die Informatiker haben ihre Ergebnisse an Meta, den Betreiber von WhatsApp, gemeldet. Dieser habe seitdem die Schwachstelle geschlossen.

Betont wird, dass in der Studie nicht auf die Ende-zu-Ende-verschlüsselten Nachrichteninhalte zugegriffen und keine personenbezogenen Daten veröffentlicht oder weitergegeben wurden. Alle abgerufenen Daten seien vor der Veröffentlichung der Studienergebnisse gelöscht worden.

Risiken bei Sammlung von Metadaten in großem Umfang

Ende-zu-Ende-Verschlüsselung schütze den Inhalt von Nachrichten, aber nicht unbedingt die damit verbundenen Metadaten, betont Co-Autor Aljosha Judmayer von der Uni Wien. Die Arbeit, deren Ergebnisse im Februar bei einer Fachtagung in den USA offiziell präsentiert werden, zeige, dass "Datenschutzrisiken auch entstehen können, wenn solche Metadaten in großem Umfang gesammelt und analysiert werden".