• IT-Karriere:
  • Services:

Messenger-Dienst: Angreifer können Whatsapp-Nutzer aus dem Dienst aussperren

Durch den massenhaften Versuch, eine Telefonnummer bei Whatsapp zu registrieren, könnte diese letztlich von dem Dienst ausgeschlossen werden.

Artikel veröffentlicht am ,
Whatsapp-Nutzer lassen sich aussperren.
Whatsapp-Nutzer lassen sich aussperren. (Bild: INDRANIL MUKHERJEE/AFP via Getty Images)

Durch das gezielte Ausnutzen der Registrierungsfunktion für neue Geräte könnte es Angreifern gelingen, Whatsapp-Nutzer von dem Dienst auszusperren. Zusammen mit einem offenbar vollständig automatisierten Prozess im E-Mail-Support lässt sich die genutzte Telefonnummer dann zudem auch noch von dem Dienst abmelden. Das berichtet das Magazin Forbes unter Berufung auf die Sicherheitsforscher Luis Márquez Carpintero and Ernesto Canales Pereña. Demnach ist der Angriff auch bei eingerichteter Zweifaktorauthentifzierung (2FA) möglich.

Stellenmarkt
  1. Helios Universitätsklinikum Wuppertal GmbH, Wuppertal
  2. J.M. Voith SE & Co. KG, Garching

Grundlage des Angriffs ist wie erwähnt die Registrierungsfunktion von Whatsapp. Der Messenger lässt sich als App auf jedem von Angreifern kontrollierten Smartphone installieren und bei der Auswahl zur Telefonnummer lässt sich eine beliebige Telefonnummer zur Registrierung angeben. Beim Versuch der Registrierung sendet der Dienst dann einen sechsstelligen Code per SMS an die angegebene Telefonnummer.

Viele Phishing-Angriffe auf Whatsapp zielen darauf ab, diesen Authentifzierungscode abzugreifen und damit den Account zu übernehmen. In dem nun beschriebenen Angriff geht es hingegen darum, diesen Code immer wieder neu bei Whatsapp anzufordern, in dem schlicht falsche Codes auf dem Gerät der Angreifer eingegeben werden. Betroffene Nutzer erhalten dann zwar immer die SMS mit den Codes auf ihre eigenen Geräte als Anzeichen für einen möglichen Angriff, abgestellt werden kann dies aber offenbar selbst durch eine 2FA nicht. Auch das Anfordern eines neuen Codes ist nicht geschützt.

Nach mehreren gescheiteren Versuchen der Registrierung und dem Neuanfordern von Authentifzierungscodes sperrt Whatsapp die Funktion für zunächst 12 Stunden. Whatsapp zeigt die verbleibende Dauer als Countdown an, die dann bis zu einem erneuten Versuch abgewartet werden muss. Dies kann insgesamt drei Mal in Folge geschehen, wobei der letzte Versuch nicht erneut mit einem 12-Stunden-Countdown endet. Stattdessen fordert die App zum erneuten Versuch in "-1 Sekunde" auf. Dabei handelt es sich offensichtlich um einen festgelegten Fehlerwert. Neue Registrierungsversuche sind danach nicht möglich.

Deaktivierung per E-Mail

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

In dem beschriebenen Angriff machen sich die Forscher nun ein zweites Problem von Whatsapp zunutze. Demnach ist es möglich, einen Whatsapp-Account mit einer vorher nicht authentifizierten E-Mail-Adresse einfach über den Whatsapp-Support zu deaktivieren. Dazu reicht lediglich das Versenden und erneute Bestätigen einer Telefonnummer, da der Prozess offenbar vollständig automatisiert abläuft.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Normalerweise wäre es nach der Deaktivierung per E-Mail möglich, die eigene Nummer und das eigene Geräte wieder neu zu registrieren. Das ist in dem beschriebenen Angriff jedoch nicht mehr der Fall. Angegriffene Nutzer sind zu diesem Zeitpunkt also von ihrem Account ausgesperrt.

Whatsapp beschreibt den Angriff laut Forbes als "unwahrscheinliches Problem" und empfiehlt Nutzern ihre echte E-Mail-Adresse bei dem Dienst zu hinterlegen. Eine Bestätigung, ob und wie das Unternehmen den beschriebenen Angriff in Zukunft unterbinden werde, liefert Whatsapp demnach aber nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Edna & Harvey: The Breakout - Anniversary Edition für 6,99€, The Daedalic Armageddon...
  2. 71,49€
  3. 2,49€

Anonymouse 12. Apr 2021 / Themenstart

Sogar schneller als man denken würde. Fällt lustigerweise dann immer in Whatsapp auf...

OMGle 12. Apr 2021 / Themenstart

Golem berichtete: https://www.golem.de/news/messenger-whatsapp-will-neues-ultimatum...

spYro 12. Apr 2021 / Themenstart

Das wäre dann eine fehlerhafte Implementierung von Sicherheitskonzepten. Falscheingaben...

Anrao 12. Apr 2021 / Themenstart

Auch ein guter Weg um an die Daten (Email) der Nutzer zu kommen. Man ermöglicht ein...

Kommentieren


Folgen Sie uns
       


Honda E Probe gefahren

Der Honda E ist ein Elektro-Kleinwagen, dessen Design an alte Honda-Modelle aus den 1970er Jahren erinnert.

Honda E Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /