Missbrauch möglich: Whatsapp lässt fremde Nutzer Geräteinformationen abgreifen

Anhand ihrer Rufnummer lässt sich zum Beispiel feststellen, wie viele Geräte eine Zielperson mit Whatsapp verwendet und wann sie diese wechselt.

Artikel veröffentlicht am , Marc Stöckel
Whatsapp lässt Geräteinformationen seiner Nutzer an Fremde durchsickern.
Whatsapp lässt Geräteinformationen seiner Nutzer an Fremde durchsickern. (Bild: Carl Court/Getty Images)

Metas weitverbreiteter Messenger Whatsapp leidet offenkundig unter einem Datenschutzproblem, das es Angreifern ermöglicht, Informationen über in Verbindung mit dem Dienst verwendete Endgeräte anderer Nutzer abzugreifen. Für Anwender gebe es keinerlei Konfigurationsmöglichkeit, mit der sich die Preisgabe dieser Daten kontrollieren lasse, erklärt der Sicherheitsforscher Tal Be'ery in einem Bericht, in dem er das Problem erläutert.

Ob ein anvisierter Nutzer die Rufnummer des Angreifers in seiner Kontaktliste gespeichert oder diese blockiert habe, sei für einen erfolgreichen Abruf der Daten unerheblich. Der Angreifer müsse nicht einmal eine Nachricht an die Zielperson senden, um deren Geräteinformationen auszulesen.

Schlüssel für E2EE werden lokal gespeichert

Möglich sei der Abruf dieser Daten beispielsweise über den Webclient von Whatsapp, erklärt Be'ery. Ein Angreifer müsse vorab lediglich die Rufnummer seines Opfers kennen und seiner Kontaktliste hinzufügen. Danach könne er bei geöffnetem Webclient über die Entwicklertools des Browsers auf eine lokale Datenbank zugreifen, in der die für die Ende-zu-Ende-Verschlüsselung (E2EE) erforderlichen Identitätsschlüssel aller Geräte seiner Kontakte gespeichert seien.

Zu finden sind die Daten in einer Tabelle mit der Bezeichnung signal-storage.identity-store. Aufgelistet sind darin Rufnummern mit einem Suffix sowie die jeweils zugehörigen Identitätsschlüssel. Letztere sind für die verschlüsselte Kommunikation über Whatsapp erforderlich. Die Daten werden aber offenkundig schon vor der Übermittlung einer ersten Nachricht ausgetauscht, selbst von Nutzern, die die Rufnummer des Angreifers gar nicht kennen.

Meta sieht wohl kein Problem

Durch eine kontinuierliche Überwachung dieser Informationen sei es Angreifern etwa möglich, festzustellen, ob eine Zielperson über mehrere Endgeräte verfüge und wann ein Gerätewechsel stattfinde, warnt Be'ery. Das erlaube es einem böswilligen Akteur, gezielte Angriffe auf oftmals weniger gut gesicherte Zweitgeräte oder auf gänzlich neu angeschaffte Geräte durchzuführen.

Für Anwender gibt es bisher wohl keine Möglichkeit, sich effektiv vor einem Missbrauch der Daten zu schützen. "Um diese Datenschutzprobleme vollständig zu lösen, muss das E2EE-Protokoll von Whatsapp korrigiert werden", erklärt der Forscher. Sinnvoll sei es beispielsweise, den Austausch der Identitätsschlüssel auf eigene Kontakte zu beschränken.

Meta scheint sich des Problems jedoch bisher nicht annehmen zu wollen. Be'ery schreibt, er habe dem Konzern seine Beobachtungen am 9. Januar 2024 über das Bug-Bounty-Programm von Meta geschildert. Zwei Tage später sei er jedoch abgewiesen worden. Es handle sich nicht um einen Implementierungsfehler, sondern um die Art und Weise, wie das Protokoll vom Design her funktioniere, so das Argument.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Apple und der DMA
Warum darf der Mac freie Apps und das iPhone nicht?

Der DMA zwingt Apple zur Öffnung des iPhone-App-Stores, was Apple für Drittanbieter unattraktiv gestaltet. Warum sind freie Apps auf dem iPhone so ein Problem?
Eine Analyse von Christian Rentrop

Apple und der DMA: Warum darf der Mac freie Apps und das iPhone nicht?
Artikel
  1. Wave House: 3D-gedrucktes Gebäude in 170 Stunden fertiggestellt
    Wave House
    3D-gedrucktes Gebäude in 170 Stunden fertiggestellt

    In Heidelberg ist Europas größtes 3D-gedrucktes Gebäude, das Wave House, in nur 170 Stunden gebaut worden.

  2. Bundesnetzagentur: Telekom setzt sich entschieden für Routerfreiheit ein
    Bundesnetzagentur
    Telekom setzt sich entschieden für Routerfreiheit ein

    Während der gesamte Markt der alternativen Netzbetreiber die Routerfreiheit wieder kippen will, stellt sich die Telekon dagegen. Ein Zwang für ein ONT eines Netzbetreibers blockiere die Nachfrage für die Telekom als Vorleistungsnehmer.

  3. IT-Branche: Ostdeutschland ist ein Standortnachteil
    IT-Branche
    "Ostdeutschland ist ein Standortnachteil"

    Im Werben um ausländische IT-Fachkräfte ziehen deutsche Firmen häufig den Kürzeren. Ein erfolgreiches Abschneiden der AfD bei den kommenden Wahlen könnte die Anwerbung zusätzlich erschweren.
    Ein Bericht von Torsten Landsberg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • LG 27" WQHD 144Hz 199€ • MSI RTX 4080 Super 1.275€ • AOC 27" WQHD 165Hz 209€ • MSI Gaming-Laptops -31% • Ryzen 9 5950X 349€ • Samsung 980 Pro 2TB m. Heatsink 149,99€ • LG OLED TV 55" 120Hz 999€ • KFA2 RTX 4070 Super 599,99€ • Xiaomi Week: Rabatte bis 49% [Werbung]
    •  /