WhatsApp-Fehler: Kontosperrung mithilfe der Telefonnummer
Seit kurzem ist ein WhatsApp-Bug bekannt, der schwerwiegende Folgen mit sich führt. Die Angreifer benötigen dabei lediglich Deine Telefonnummer und schon kann Dein Konto in Sekundenschnelle gesperrt werden. Als Folge kannst Du Dich weder in Dein Konto einloggen noch WhatsApp weiterhin wie gehabt nutzen. Wir erklären Dir in diesem Artikel wie der Angriff funktioniert.
Der Bericht von Forbes lässt darauf schließen, dass Angreifer das Konto durch Ausnutzung zweierlei Sicherheitsfunktionen sperren können. Diese Sicherheitsfunktionen von WhatsApp haben nichts miteinander zu tun und agieren unabhängig voneinander, weshalb ein unauffälliger Angriff verübt werden kann.
Problem des Angriffs: WhatsApp-Nutzer geben die richtige Telefonnummer an
Das Problem des Angriffes liegt auf der Hand. Nahezu jeder von uns nutzt WhatsApp alltäglich. Wir können uns wahrscheinlich alle an den Einrichtungsprozess am Anfang erinnern. WhatsApp hat uns aufgefordert unsere Telefonnummer einzugeben, an welche anschließend ein Bestätigungscode versendet wurde. Dieser Prozess der Zwei-Faktor-Authentifizierung scheint in erster Linie als Sicherheit zu dienen.
1. Sicherheitsfunktion, die zum Schaden führt: 2FA mit Bestätigungscode
Wie eset berichtet, gäbe es keine Alternative, die Eingabe der Telefonnummer als 2FA-Prozess zu umgehen. Ein Angreifer kann sich allerdings die Anfrage des Bestätigungscodes zu Nutze machen und dies wiederholt und mehrmals hinter dem Rücken eines Users tun. Man nutzt in der Zwischenzeit die App wie gewohnt weiter und wunderst sich, weshalb man andauernd SMS-Nachrichten oder Anrufe von Whatsapp erhältst. In den meisten Fällen fangen User an, diese Nachrichten zu ignorieren, da sie vermuten es handle sich hierbei um einen Fehler. Die ersten SMS-Nachrichten mit dem 6-stelligen Code würden vielleicht noch Fragen aufwerfen – doch als User hat man keine Möglichkeit diesen Code irgendwo einzugeben – wie auch, man hat ihn ja nicht angefordert.
Doch was passiert, wenn die Nachrichten ignoriert werden?
Das große Problem an der Sache ist der Punkt, dass WhatsApp die Anzahl der Bestätigungscodes von vornherein begrenzt. Als Folge teilt WhatsApp dem Opfer mit, es seien zu viele Codes generiert worden und man solle es in 12 Stunden erneut versuchen. In der Zwischenzeit ist weder die Eingabe noch die Generierung der Codes in der App möglich. Das ist erst einmal kein Problem, solange Du WhatsApp auf Deinem Gerät deaktivierst und Dich neu verifizieren musst. Dieser Angriff führt also alleine nicht dazu, dass Dein WhatsApp-Konto gesperrt wird, also kommen wir zum zweiten Punkt:
2. Sicherheitsfunktion, die zum Schaden führt: Deaktivierung der Nummer beim WhatsApp-Support
Um Dein Konto nun endgültig zu sperren, erstellt der Angreifer im nächsten Schritt eine gefälschte E-Mail-Adresse und schreibt dem WhatsApp-Support eine E-Mail, mit der Bitte, die Telefonnummer zu sperren. Der Angreifer gibt dabei die Telefonnummer des Opfers an und meldet das WhatsApp-Konto als gestohlen oder verloren.
Die Folgen:
Durch das Verfassen der E-Mail an den WhatsApp-Support, wurde eine automatische Deaktivierung des Accounts ausgelöst. Das Problem dabei ist, dass
- es weder eine Möglichkeit gibt, das Eigentum an der Nummer zu bestätigen
- noch die Identität zu gewährleisten.
Während Du also Dein WhatsApp-Account ganz normal weiternutzt, wird Dein Konto im Hintergrund deaktiviert. In ca. einer Stunde erwartet Dich eine böse Überraschung, wenn Du die Meldung erhältst: „Ihre Rufnummer ist auf diesem Telefon nicht bei WhatsApp registriert“. Die App fordert Dich auf, Deine Rufnummer zu bestätigen. Dies geschieht – wer hätte es gedacht – durch die Eingabe des 6-stelligen Codes.
Jetzt kommt die erste Sicherheitsfunktion wieder ins Spiel. Du versuchst Deine Telefonnummer einzugeben und wartest auf Deinen Code. Allerdings kommt keiner an und Du erhältst die Meldung: „Sie haben kürzlich einen Code angefordert“. Ohne Vorahnung sitzt Du in der Klemme und kannst für die nächsten 12 Stunden, genauso wie Dein Angreifer mit seinem Telefon, keine Codes mehr anfordern. Dann fällt Dir plötzlich ein: Du hast ein paar Stunden vorher bereits Nachrichten von WhatsApp bekommen. Du öffnest die letzte, tippst den Code ein – und was passiert? Nichts. WhatsApp gibt Dir lediglich die Meldung, Du hättest den Code zu oft eingetippt.
Das Ende:
Der Angreifer wird nach Verstreichen der 12 Stunden Schicht erneut Codes anfragen. Das Problem ist allerdings das, dass WhatApp nach dreimaligem Verstreichen der 12 Stunden Dein Konto still liegt. Es wird nun lediglich angezeigt: „Du hast den Code zu oft eingegeben, versuche es in -1 Sekunden nochmal“. Genau zu diesem Zeitpunkt ist es zu spät. Dein Konto liegt still und Du kannst nichts mehr dagegen machen.