Missbrauch möglich: Whatsapp lässt fremde Nutzer Geräteinformationen abgreifen

Metas weitverbreiteter Messenger Whatsapp leidet offenkundig unter einem Datenschutzproblem, das es Angreifern ermöglicht, Informationen über in Verbindung mit dem Dienst verwendete Endgeräte anderer Nutzer abzugreifen. Für Anwender gebe es keinerlei Konfigurationsmöglichkeit, mit der sich die Preisgabe dieser Daten kontrollieren lasse, erklärt der Sicherheitsforscher Tal Be'ery in einem Bericht, in dem er das Problem erläutert.

Ob ein anvisierter Nutzer die Rufnummer des Angreifers in seiner Kontaktliste gespeichert oder diese blockiert habe, sei für einen erfolgreichen Abruf der Daten unerheblich. Der Angreifer müsse nicht einmal eine Nachricht an die Zielperson senden, um deren Geräteinformationen auszulesen.

Schlüssel für E2EE werden lokal gespeichert

Möglich sei der Abruf dieser Daten beispielsweise über den Webclient von Whatsapp, erklärt Be'ery. Ein Angreifer müsse vorab lediglich die Rufnummer seines Opfers kennen und seiner Kontaktliste hinzufügen. Danach könne er bei geöffnetem Webclient über die Entwicklertools des Browsers auf eine lokale Datenbank zugreifen, in der die für die Ende-zu-Ende-Verschlüsselung (E2EE) erforderlichen Identitätsschlüssel aller Geräte seiner Kontakte gespeichert seien.

Zu finden sind die Daten in einer Tabelle mit der Bezeichnung signal-storage.identity-store. Aufgelistet sind darin Rufnummern mit einem Suffix sowie die jeweils zugehörigen Identitätsschlüssel. Letztere sind für die verschlüsselte Kommunikation über Whatsapp erforderlich. Die Daten werden aber offenkundig schon vor der Übermittlung einer ersten Nachricht ausgetauscht, selbst von Nutzern, die die Rufnummer des Angreifers gar nicht kennen.

Meta sieht wohl kein Problem

Durch eine kontinuierliche Überwachung dieser Informationen sei es Angreifern etwa möglich, festzustellen, ob eine Zielperson über mehrere Endgeräte verfüge und wann ein Gerätewechsel stattfinde, warnt Be'ery. Das erlaube es einem böswilligen Akteur, gezielte Angriffe auf oftmals weniger gut gesicherte Zweitgeräte oder auf gänzlich neu angeschaffte Geräte durchzuführen.

Für Anwender gibt es bisher wohl keine Möglichkeit, sich effektiv vor einem Missbrauch der Daten zu schützen. "Um diese Datenschutzprobleme vollständig zu lösen, muss das E2EE-Protokoll von Whatsapp korrigiert werden", erklärt der Forscher. Sinnvoll sei es beispielsweise, den Austausch der Identitätsschlüssel auf eigene Kontakte zu beschränken.

Meta scheint sich des Problems jedoch bisher nicht annehmen zu wollen. Be'ery schreibt, er habe dem Konzern seine Beobachtungen am 9. Januar 2024 über das Bug-Bounty-Programm von Meta geschildert. Zwei Tage später sei er jedoch abgewiesen worden. Es handle sich nicht um einen Implementierungsfehler, sondern um die Art und Weise, wie das Protokoll vom Design her funktioniere, so das Argument.