Amsterdam - WhatsApp ist sicher? Nicht ganz. Ein niederländischer IT-Experte hat jetzt eine große Sicherheitslücke aufgedeckt. Doch man kann sich schützen.

WhatsApp ist der wohl beliebteste Messenger Dienst der Welt. Bereits im Februar 2016 knackte der Smartphone-Chat-Anbieter die Eine-Milliarde-Nutzer-Marke weltweit. Knapp 37 Millionen davon alleine in Deutschland. Bereits früher gab es starke Kritik an den Sicherheitsstandards der Nachrichten-App, die sich seit der Einführung der Ende-zu-Ende-Verschlüsselung deutlich gebessert haben.

Doch nun hat ein IT-Experte in den Niederlanden bei dem beliebten Messenger-Dienst eine große Sicherheitslücke entdeckt. So soll es über ein bestimmtes Sicherheitsleck Angreifern möglich sein, auf die Nutzerdaten von völlig fremden Personen zuzugreifen und auch eigene Profile damit zu erstellen, berichten übereinstimmend mehrere Technik-Seiten wie zum Beispiel chip.de.

Loran Kloeze, so der Name des Experten, schreibt in seinem Forschungsbericht: „Offenbar ist es sehr einfach, eine Datenbank mit Telefonnummern, Profilbildern und Statusinformationen von fast allen WhatsApp-Nutzern zu erstellen.“ Was hat er entdeckt?

Das Problem heißt „WhatsApp-Web“

Das Problem findet sich wohl bei WhatsApp-Web, ein Programm, mit dem man WhatsApp auf dem Computer nutzen kann. Ruft man WhatsApp-Web auf, erscheint ein QR-Code. Der muss mit dem, in der App integrierten QR-Code-Scanner gescannt werden und schon öffnet sich das persönliche WhatsApp-Profil auch auf dem PC-Bildschirm. Obwohl der PC-Dienst äußerst praktisch ist, ermöglicht er laut Kloeze Angreifern, eine riesige Datenbank mit fremden Nutzerdaten zu erstellen.

Kloeze erklärt das Problem so: WhatsApp Web verbindet sich über das Smartphone mit den WhatsApp-Servern. Die Software sendet eine Telefonnummer zu den WhatsApp-Servern, verbunden mit dem Auftrag, alle Informationen für diese Telefonnummer zurückzusenden, darunter das Profilbild, der Statustext und der Online-Status des Nutzers. Problematisch: Offenbar soll es möglich sein, diese Informationen für jede Telefonnummer anzufragen, so Kloeze. Die Nummer müsse dabei nicht in den eigenen Kontakten gespeichert sein. So könne man zum Beispiel herausfinden, wann ein Nutzer mit einer bestimmten Nummer online und offline gewesen sei.

Es gibt keinen Schutz, der den Zugang zu der Software für fremde Nutzer unzugänglich macht. So sei es Kloeze gelungen, ein Skript mit den Nutzerdaten unzähliger fremder Personen zu erstellen. Dies sei keine Schwierigkeit und für jedermann machbar, so Kloeze.

User können sich schützen

Über einen längeren Zeitraum könne man anhand eines solchen Profils die Nutzergewohnheiten eines Users herausfinden und auf die Telefonnummern fremder Personen zugreifen. WhatsApp-Mutter Facebook reagierte auf eine Anrage Kloezes allerdings ausweichend: Man sei sich der potenziell gefährlichen Lücke bewusst, sehe aber kein Sicherheitsproblem darin.

Für WhatsApp-Nutzer gibt es allerdings einen sehr simplen Weg, sich vor dieser Sicherheitslücke zu schützen. In den Einstellungen lassen sich die Dinge wie der „Zuletzt-Online-Status“, das Profilbild und der Status so einstellen, dass sie nur für die eigenen Kontakte oder - laut Kloeze noch besser - gleich für gar niemanden sichtbar sind. Wer diese Einstellungen beachtet ist, so Kloeze, auf de sicheren Seite.

