Forscher der Universität Wien entdeckten eine Schwachstelle im Kontakt-Abgleich von WhatsApp. Mittels des Mechanismus konnten sie weltweit über 3,5 Milliarden Konten identifizieren.
Ein Forschungsteam der Universität Wien und SBA Research hat eine gravierende Lücke im Contact Discovery Verfahren von WhatsApp offengelegt. Forschende konnten über 100 Millionen Telefonnummern pro Stunde abfragen und damit weltweit mehr als 3.5 Milliarden aktive Konten bestätigen. Die Forschenden konnten aus den abgefragten Datensätzen unter anderem Telefonnummern, Zeitstempel, öffentliche Schlüssel sowie falls freigegeben Profilbilder und Status Infos auslesen. Daraus liessen sich weitere Metadaten ableiten, etwa das verwendete Betriebssystem oder die Zahl verbundener Geräte. Laut Universität Wien waren keine Nachrichteninhalte betroffen, da diese weiterhin durch Ende zu Ende Verschlüsselung geschützt sind. WhatsApp kooperierte nach der Meldung der Lücke und hat den Fehler inzwischen behoben. Der Fall zeigt, dass selbst globale Dienste mit Milliarden Nutzern anfällig für Schwächen in Design oder Implementierung bleiben. Die Forschenden betonen, dass Sicherheitsmechanismen regelmässig überprüft und verbessert werden müssen. (lfa)