Quelle: security insider
Forschende der Universität Wien entdeckten eine Schwachstelle in WhatsApp, über die 3,5 Milliarden Konten mit Telefonnummern und Profilinfos ausgelesen werden konnten. User sollten schnell ihre Einstellungen checken und wachsam vor Betrug sein.
Forschende der Universität Wien berichten, ein massives Datenleck in WhatsApp gefunden zu haben. So massiv, dass es einer der größten Datenabflüsse in der Geschichte des Internets sein könnte. Dabei seien Informationen von 3,5 Milliarden User-Accounts abgeflossen. 75 Millionen der Konten seien von deutschen Nutzern.
Telefonnummern, Profilinformationen und Metadaten offengelegt
Wie die Wiener Forscher im Rahmen eines sogenannten Enumerationsangriffs zeigten, waren sie in der Lage, neben Profilbildern und Profilbeschreibungstexten auch Telefonnummern, öffentliche Schlüssel und Zeitstempeln abzufragen. Grund für das gigantische Datenleck war eine Sicherheitslücke in der Contact-Discovery-Funktion. Diese nutzt der Messenger-Dienst, um zu prüfen, welche Kontakte eines Users ebenfalls WhatsApp nutzen. Innerhalb einer Stunde hätten die Experten 100 Millionen Telefonnummern auslesen können. „Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit und von einer Quelle beziehungsweise von einem Server beantwortet werden. Darin lag die Sicherheitslücke, denn wir konnten quasi unbegrenzte Anfragen an den Server stellen und so schließlich eine weltweite Erhebung machen“, erklärt Hauptautor Gabriel Gegenhuber von der Universität Wien. Mithilfe dieser Datenpunkte konnte das Team wiederum zusätzliche Metadaten extrahieren, die Rückschlüsse auf das Betriebssystem der Nutzer, das Alter ihres Kontos sowie die Anzahl der verbundenen Sekundärgeräte, zum Beispiel über WhatsApp Web, schließen. Nachrichteninhalte seien von dieser Sicherheitslücke nicht betroffen, da diese durch die Ende-zu-Ende-Verschlüsselung geschützt sind.
Darüber hinaus konnten die Forschenden aus Wien feststellen, dass Millionen WhatsApp-Konten in Ländern aktiv seien, in denen die Plattform offiziell verboten ist, darunter China, Iran und Myanmar. Zudem hätten die Analysten in wenigen Fällen die Wiederverwendung von kryptografischen Schlüsseln über verschiedene Geräte oder Telefonnummern hinweg festgestellt, was auf Schwächen in inoffiziellen WhatsApp-Clients oder betrügerische Nutzung hindeute. Außerdem konnten sie feststellen, dass von den 3,5 Milliarden WhatsApp-Konten 81 Prozent auf Android-Geräten liefen und 19 Prozent auf iOS-Geräten.
Schutz vor Cyberangriffen durch abgeflossene Daten
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, hat Meta, dem Unternehmen hinter WhatsApp, erst mehrere Monate nach der Meldung der Forscher reagiert. Obwohl die Schwachstelle mittlerweile behoben ist, sei deshalb damit zu rechnen, dass böswillige Akteure die Schwachstelle bereits ausgenutzt haben und die gestohlenen Informationen für Betrugsversuche, Identitätsmissbrauch, übergreifendes Tracking und zielgerichtetes Social Engineering nutzen könnten.
Daher empfiehlt das BSI, die Privatsphäre-Einstellungen zu prüfen und folgende Maßnahmen zu ergreifen:
- Das Profilbild, Infos in Beschreibungstexten sowie der „Zuletzt online“-Status sollten nur für Kontakte oder niemanden sichtbar sein. Zudem sollten sie keine Informationen enthalten, die eine Person identifizierbar machen könnten, wie zum Beispiel das Gesicht zeigen oder Orts- oder Straßennamen.
- User sollten fremde Kontakte ignorieren und auf keinen Fall auf mitgeschickte Links klicken oder Anhänge öffnen.
- Die Sichtbarkeit der eigenen Handynummer sollte eingeschränkt sein. Bei Diensten, die die Nummer zwingend brauchen, sollte die Zwei-Faktor-Authentifizierung aktiviert sein.
- WhatsApp-Nutzer sollten achtsam sein bei Anrufen und Screensharing-Anfragen. Sie sollten ihren Bildschirm nicht teilen. Besondere Wachsamkeit gilt, da der Hersteller Eset derzeit vor einer Betrugsmasche warnt, bei der sich Betrüger bei WhatsApp-Nutzern melden, um sie dazu zu bringen, ihren Bildschirm zu teilen, um dann Passwörter oder Verifizierungs-Codes abzufangen.
Tipps zum sicheren Umgang mit sozialen Netzwerken
Tipps zum sicheren Umgang mit sozialen Netzwerken findet ihr hier: https://lnkd.in/dKNnfZnU