Messenger-Dienst: Angreifer können Whatsapp-Nutzer aus dem Dienst aussperren

Durch den massenhaften Versuch, eine Telefonnummer bei Whatsapp zu registrieren, könnte diese letztlich von dem Dienst ausgeschlossen werden.

Artikel veröffentlicht am ,
Whatsapp-Nutzer lassen sich aussperren.
Whatsapp-Nutzer lassen sich aussperren. (Bild: INDRANIL MUKHERJEE/AFP via Getty Images)

Durch das gezielte Ausnutzen der Registrierungsfunktion für neue Geräte könnte es Angreifern gelingen, Whatsapp-Nutzer von dem Dienst auszusperren. Zusammen mit einem offenbar vollständig automatisierten Prozess im E-Mail-Support lässt sich die genutzte Telefonnummer dann zudem auch noch von dem Dienst abmelden. Das berichtet das Magazin Forbes unter Berufung auf die Sicherheitsforscher Luis Márquez Carpintero and Ernesto Canales Pereña. Demnach ist der Angriff auch bei eingerichteter Zweifaktorauthentifzierung (2FA) möglich.

Stellenmarkt
  1. Operativer Lizenzmanager (d/m/w)
    NÜRNBERGER Versicherung, Nürnberg
  2. Mitarbeiter für die Funktionsstelle IT-Prozesse (m/w/d)
    Medizinischer Dienst Niedersachsen, Hannover
Detailsuche

Grundlage des Angriffs ist wie erwähnt die Registrierungsfunktion von Whatsapp. Der Messenger lässt sich als App auf jedem von Angreifern kontrollierten Smartphone installieren und bei der Auswahl zur Telefonnummer lässt sich eine beliebige Telefonnummer zur Registrierung angeben. Beim Versuch der Registrierung sendet der Dienst dann einen sechsstelligen Code per SMS an die angegebene Telefonnummer.

Viele Phishing-Angriffe auf Whatsapp zielen darauf ab, diesen Authentifzierungscode abzugreifen und damit den Account zu übernehmen. In dem nun beschriebenen Angriff geht es hingegen darum, diesen Code immer wieder neu bei Whatsapp anzufordern, in dem schlicht falsche Codes auf dem Gerät der Angreifer eingegeben werden. Betroffene Nutzer erhalten dann zwar immer die SMS mit den Codes auf ihre eigenen Geräte als Anzeichen für einen möglichen Angriff, abgestellt werden kann dies aber offenbar selbst durch eine 2FA nicht. Auch das Anfordern eines neuen Codes ist nicht geschützt.

Nach mehreren gescheiteren Versuchen der Registrierung und dem Neuanfordern von Authentifzierungscodes sperrt Whatsapp die Funktion für zunächst 12 Stunden. Whatsapp zeigt die verbleibende Dauer als Countdown an, die dann bis zu einem erneuten Versuch abgewartet werden muss. Dies kann insgesamt drei Mal in Folge geschehen, wobei der letzte Versuch nicht erneut mit einem 12-Stunden-Countdown endet. Stattdessen fordert die App zum erneuten Versuch in "-1 Sekunde" auf. Dabei handelt es sich offensichtlich um einen festgelegten Fehlerwert. Neue Registrierungsversuche sind danach nicht möglich.

Deaktivierung per E-Mail

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22.–23. März 2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

In dem beschriebenen Angriff machen sich die Forscher nun ein zweites Problem von Whatsapp zunutze. Demnach ist es möglich, einen Whatsapp-Account mit einer vorher nicht authentifizierten E-Mail-Adresse einfach über den Whatsapp-Support zu deaktivieren. Dazu reicht lediglich das Versenden und erneute Bestätigen einer Telefonnummer, da der Prozess offenbar vollständig automatisiert abläuft.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Normalerweise wäre es nach der Deaktivierung per E-Mail möglich, die eigene Nummer und das eigene Geräte wieder neu zu registrieren. Das ist in dem beschriebenen Angriff jedoch nicht mehr der Fall. Angegriffene Nutzer sind zu diesem Zeitpunkt also von ihrem Account ausgesperrt.

Whatsapp beschreibt den Angriff laut Forbes als "unwahrscheinliches Problem" und empfiehlt Nutzern ihre echte E-Mail-Adresse bei dem Dienst zu hinterlegen. Eine Bestätigung, ob und wie das Unternehmen den beschriebenen Angriff in Zukunft unterbinden werde, liefert Whatsapp demnach aber nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anonymouse 12. Apr 2021

Sogar schneller als man denken würde. Fällt lustigerweise dann immer in Whatsapp auf...

OMGle 12. Apr 2021

Golem berichtete: https://www.golem.de/news/messenger-whatsapp-will-neues-ultimatum...

spYro 12. Apr 2021

Das wäre dann eine fehlerhafte Implementierung von Sicherheitskonzepten. Falscheingaben...

Anrao 12. Apr 2021

Auch ein guter Weg um an die Daten (Email) der Nutzer zu kommen. Man ermöglicht ein...



Aktuell auf der Startseite von Golem.de
Musterfeststellungsklage
Parship kann eine Kündigungswelle erwarten

Die Verbraucherzentrale ruft zur Kündigung bei Parship und zur Teilnahme an einer Musterfeststellungsklage auf. Doch laut Betreiber PE Digital ist das aussichtslos.

Musterfeststellungsklage: Parship kann eine Kündigungswelle erwarten
Artikel
  1. Open Source: Antworten Sie innerhalb von 24 Stunden
    Open Source
    "Antworten Sie innerhalb von 24 Stunden"

    Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

  2. Raumfahrt: US-Weltraumstreitkräfte starten zwei Spionagesatelliten
    Raumfahrt
    US-Weltraumstreitkräfte starten zwei Spionagesatelliten

    Was können denn andere Satelliten im geostationären Orbit? Fliegen wir hin und schauen nach.

  3. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 Ti 8GB 1.039€ • RX 6900XT 16 GB für 1.495€ • Acer Curved Gaming-Monitor 27" 259€ • RX 6800XT 16GB 1.229€ • Corsair 16GB DDR4-4000 111,21€ • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /