Sicherheitslücke bei WhatsApp – so leicht kommt jeder an Ihre Daten

„Bist Du bei WhatsApp?“ Diese Frage ist mittlerweile sozialer Standard. Sie kommt meistens unmittelbar nachdem sich zwei Menschen einander vorgestellt haben. Es geht nicht mehr ohne WhatsApp. Über eine Milliarde Menschen nutzen derzeit den Messenger-Dienst. In Deutschland ist es beinahe jeder zweite Einwohner. Genauso alt wie WhatsApp ist auch die immer wiederkehrende Kritik am Datenschutz bei dem Online-Giganten. Die „Ende zu Ende“-Datenverschlüsselung hat die Situation 2016 weitgehend befriedet.

Eine Sicherheitslücke, die jeder Laie ausnutzen kann

Jetzt aber weist der niederländische Sicherheits-Forscher Loran Kloetze auf eine seiner Auffassung nach eklatante Sicherheitslücke hin. WhatsApp-Mutter Facebook leugnet deren Existenz nicht einmal, will aber trotzdem nichts dagegen unternehmen. Der Nutzer soll sich selbst schützen, heißt es. Die Sicherheitslücke erlaubt es, das Profilbild, den Status-Text und den Online-Status einer beliebigen Anzahl von Nutzern abzugreifen. Die Daten praktisch jedes nicht ausreichend geschützten Accounts seien abrufbar. Dazu muss man nicht mal ein ausgebuffter Hacker sein. Das könne jeder Laie bewerkstelligen, informiert Kloetze. Die gute Nachricht: WhatsApp-Nutzer können sich mit nur wenigen Handgriffen vor der Spionage schützen.

Das Leck in der Rechner-Version von WhatsApp

Die Sicherheitslücke betrifft die Messenger-Version WhatsApp-Web. Die macht den Messenger-Dienst auch auf dem heimischen Rechner nutzbar. Wenn man WhatsApp-Web auf seinem Rechner installiert, erscheint beim Aufruf ein QR-Code. Den muss man mit dem in WhatsApp integrierten QR-Scanner einlesen. Dann öffnet sich auf dem Rechner automatisch das persönliche Whatsapp-Profil. Die Verbindung der Web-Version zu den WhatsApp-Servern wird allerdings nicht über den Internet-Anschluss des Rechners aufgebaut, sondern über das entsprechende Smartphone, auf dem WhatsApp läuft.

WhatsApp spuckt jeden beliebigen Kontakt aus

Die Software sendet also die Telefonnummer an den WhatsApp-Server, verbunden mit der Aufforderung, alle Infos an diese Nummer zurückzusenden – eben Profilbild, Statustext und Online-Status. Genau diese Informationen kann man über WhatsApp-Web aber nicht bloß für seine eigene Nummer anfordern, sondern für jede beliebige. Die Nummer muss nicht einmal in den eigenen Kontakten gespeichert sein. Über zwei Eingabefelder ließen sich kinderleicht die auszuspähenden Nummern festlegen, berichtet Sicherheits-Forscher Kloetze. Mit wenig Mühe ließe sich eine ganze Datenbank mit den entsprechenden Informationen von WhatsApp-Nutzern anlegen. Zum Beweis stellte Kloetze ein Script online, mit dem das leicht gelinge und in dem er selbst die Daten unzähliger WhatsApp-Nutzer abgelegt habe.

So einfach kann man die Sicherheitslücke schließen

Whatsapp-Mutter Facebook vermag in dem Umstand kein Sicherheitsproblem zu erkennen. Das sei Teil der ganz normalen Funktionalität von WhatsApp. Jeder Nutzer könne und müsse selbst entscheiden, wie sichtbar er auf WhatsApp sein möchte. Tatsächlich können Nutzer es leicht unterbinden, ausgespäht zu werden. Dafür muss man bei WhatsApp in den Einstellungen das Menü „Account“ wählen und dann „Datenschutz“. Dort erscheint der Bereich „Wer kann meine persönlichen Daten sehen“. Wenn man die Einstellungen bei den Punkten „Zuletzt online“, „Profilbild“ und „Info“ vom voreingestellten „Jeder“ auf „Meine Kontakte“ oder gar auf „Niemand“ ändert, ist das wieder sicher. Wenn man die Option „Niemand“ wählt, muss man sich allerdings damit abfinden, auch von niemandem gefunden zu werden, den man vielleicht gerne seinen Kontakten hinzufügen würde. Social Media und Datenschutz – das wird eben immer ein Spannungsfeld bleiben.