Was einst die SMS war, ist für viele längst Whatsapp geworden: der zentrale Kanal zur Textkommunikation mit Verwandten und Bekannten. Von diesem Dienst ausgesperrt zu werden – und sei es auch nur temporär – wäre für die meisten Nutzer also eine wenig erkleckliche Erfahrung. Umso unerfreulicher ist, was nun die beiden Sicherheitsforscher Luis Márquez Carpintero und Ernesto Canales Pereña entdeckt haben.

Mit einem recht simplen Trick ist es demnach möglich, beliebige Whatsapp-User temporär zu sperren. Und mit einer zweiten Stufe lässt sich dieser zeitliche Rahmen – und der Aufwand für den betreffenden Nutzer – noch einmal deutlich verlängern, wie "Forbes" berichtet. Alles, was man dafür wissen muss, ist die für das Konto verwendete Telefonnummer.

Ablauf

Auf der ersten Stufe versucht sich der Angreifer einfach mit der Telefonnummer der Zielperson auf einem eigenen Smartphone einzuloggen. Das geht natürlich nicht, weil die Bestätigungs-SMS für den Login an ein ganz anderes Gerät geht. Nach mehreren erfolglosen Versuchen führt dies aber schon einmal zur Sperre des Kontos für eine Dauer von zwölf Stunden.

An dieser Stelle beginnt nun der zweite Teil der Attacke: Der Angreifer schickt – von einer beliebigen Adresse – eine E-Mail an den Whatsapp-Support und behauptet einfach, dass das eigene Telefon gestohlen wurde und das Konto entsprechend gesperrt werden soll. Diese Anfrage "überprüft" Facebook lediglich, indem über eine Rückfrage via E-Mail nachgefragt wird, ob diese Adresse auch wirklich existiert. Diese steht aber eben unter Kontrolle des Angreifers. Also kann dieser auch problemlos darauf antworten, und es wird eine längere Sperre veranlasst. Ein Angreifer könnte dieses Spiel zudem mehrfach wiederholen, um eine Art semidauerhafte Sperre zu erreichen, betonen die Sicherheitsforscher.

Automatisierung

Ursache dieses Problems dürfte ein Zusammenspiel mehrerer Faktoren sein. Einerseits behandelt Whatsapp solche Anfragen automatisiert mithilfe künstlicher Intelligenz. Ein Mensch, dem dieser Trick auffallen könnte, sieht diese Nachrichten also üblicherweise nie. Gleichzeitig ist es für Facebook tatsächlich schwer, in so einer Situation die Authentizität der Anfrage zu überprüfen, immerhin hat man üblicherweise ja nur die Telefonnummer – und die taugt nicht zur Rückfrage, da ja eine Kompromittierung behauptet wird.

Genau hier sieht Facebook auch die Lösung des Problems: Wer bei Whatsapp eine Mailadresse als zweiten Faktor hinterlegt, der wird zumindest vor dem zweiten Teil der Attacke geschützt, versichert das Unternehmen. Ob die User Whatsapp nach all den Diskussionen der vergangenen Monate noch weitere Daten liefern wollen, ist allerdings eine andere Frage. An eine Änderung der eigenen Abläufe in Hinblick auf Kontosperren scheint man angesichts des aktuellen Berichts hingegen nicht zu denken.

Verbot

Etwas seltsam ist zudem ein anderer Hinweis von Facebook als Reaktion auf den Bericht, nämlich dass so ein Verhalten den eigenen Nutzungsbedingungen widerspricht. Denn das mag zwar richtig sein, kann einem Angreifer aber herzlich egal sein, geht es hier doch nicht um das eigene Konto. Ein weiterer begrenzender Faktor ist natürlich, dass man die Telefonnummer einer Zielperson benötigt. Zumindest war er das noch bis vor nicht allzu langem. Wären da nicht infolge eines älteren Datenlecks bei Facebook gerade erst mehr als 500 Millionen Telefonnummern von Nutzern des sozialen Netzwerks durchgesickert und somit öffentlich einsehbar. (apo, 13.4.2021)