Ein IT-Experte entdeckt eine große Sicherheitslücke beim Web-Dienst von Whatsapp, über die jedermann detaillierte Nutzerprofile anlegen kann. Schützen können sich Nutzer, indem sie tun, was ohnehin jeder bei Whatsapp tun sollte.

Ist Whatsapp sicher? Im Grunde ja. Der Dienst ist nicht nur der beliebteste Messenger der Welt, seit Einführung der Ende-zu-Ende-Verschlüsselung gilt er auch als ein relativ sicheres Kommunikationsmittel. Ein Sicherheitsforscher hat jetzt aber eine Schwachstelle von Whatsapp Web entdeckt, die Angreifern Zugriff auf viele Informationen erlaubt, auch von völlig fremden Whatsapp-Nutzern.

Alarmierend einfach

Der niederländische Forscher Loran Kloeze beginnt seinen Bericht mit den alarmierenden Worten: "Offenbar ist es sehr einfach, eine Datenbank mit Telefonnummern, Profilbildern und Statusinformationen von fast allen Whatsapp-Nutzern zu erstellen." Sie müssten nicht einmal in der eigenen Kontaktliste auftauchen. Was steckt dahinter?

Kloeze hat im Webdienst von Whatsapp eine Lücke gefunden. Der Dienst ermöglicht es Nutzern, Whatsapp am Computer zu nutzen und das Handy in der Tasche zu lassen. Dafür müssen sie nur die Website von Whatsapp Web aufrufen und dort aus der Whatsapp-App auf dem Handy heraus einen QR-Code scannen. Der Dienst ist überaus praktisch, doch offenbar ist es möglich, mithilfe von Whatsapp Web eine riesige Datenbank mit Nutzerdaten zu erstellen.

Kloeze erklärt: Whatsapp Web verbindet sich über das Smartphone mit den Whatsapp-Servern. Die Software sende eine Telefonnummer zu den Whatsapp-Servern, verbunden mit dem Auftrag, alle Informationen für diese Telefonnummer zurückzusenden, darunter das Profilbild, der Statustext und der Online-Status des Nutzers. Problematisch: Offenbar sei es möglich, diese Informationen für jede Telefonnummer anzufragen, so Kloeze. Die Nummer müsse dabei nicht in den eigenen Kontakten gespeichert sein. So könne man zum Beispiel herausfinden, wann ein Nutzer mit einer bestimmten Nummer online und offline gewesen sei. 

Jeder kann Skript schreiben

Die Software für den Web-Dienst von Whatsapp ist quelloffen und kann von jedem eingesehen und für eigene Zwecke genutzt oder abgeändert werden. Kloeze habe sich diesen Umstand zunutze gemacht und ein Skript geschrieben, mit dem er Informationen von zahlreichen Telefonnummern abfragen kann. "Jeder kann solch ein Skript schreiben", mahnt Kloeze.  

Was man mit diesen Informationen machen kann, umreißt er folgendermaßen: Jeder kann eine Datenbank erstellen, in der alle Telefonnummern eines Landes, zum Beispiel der Niederlande, gespeichert sind - inklusive Informationen wie Profilbild, Online-Zeiten und Status-Meldungen. Über einen gewissen Zeitraum könne man so ein Profil erstellen, aus dem hervorgeht, wann ein Nutzer online war oder wie oft er sein Profilbild verändert hat. Und in Verbindung mit leistungsstarker Gesichtserkennungs-Software könne man ein Foto eines Fremden machen, es anschließend mit der Datenbank und den Whatsapp-Profilbildern abgleichen und so dessen Telefonnummer herausfinden. 

Einfacher Schutz

Wie groß die Bedrohung tatsächlich ist, ist offen - Facebook scheint darin jedenfalls kein Problem zu sehen. Auf eine Anfrage von Kloeze reagierte die Whatsapp-Mutter ausweichend: Man sei sich der potenziell gefährlichen Lücke bewusst, sehe aber kein Sicherheitsproblem darin.

Gefährlich oder nicht, besorgte Nutzer können sich ganz einfach dagegen schützen, dass jemand auf dem oben beschriebenen Weg ihre Informationen sammelt: Wer in den Privatsphäre-Einstellungen unter Account und Datenschutz festlegt, dass "Zuletzt Online", "Profilbild", "Info" und "Status" nur von den eigenen Kontakten oder gleich von "Niemand" gesehen werden dürfen, ist laut Kloeze auf der sicheren Seite.