Eine einzigartige und störende Sicherheitslücke in WhatsApp ermöglicht es jedem, Ihr Konto in diesem Dienst zu sperren, solange er Ihre Telefonnummer kennt.
Das Problem ist kein interner Fehler im WhatsApp-Code, sondern ein störender Fehler in der Art und Weise, wie der Dienst Konten sperrt. Der Angreifer liest Ihre Nachrichten nicht, lässt Sie jedoch ohne Zugriff auf die beliebte Messaging-Anwendung zurück, ohne dass Sie wissen, was passiert ist.
Ein Problem in WhatsApp, das viele Kopfschmerzen verursachen kann
Der Mechanismus ist einfach. Der Angreifer installiert WhatsApp auf einem neuen Mobiltelefon und gibt Ihre Nummer ein, um den Dienst zu aktivieren. Sie können es nicht überprüfen, da dieser Schlüssel Ihre Telefonnummer erreicht.
Da er Ihre Telefonnummer verwendet hat, gibt er mehrere zufällige Bestätigungsschlüssel ein, die fehlschlagen. Nach mehreren Versuchen erlaubt die App dem Angreifer nicht, neue sechsstellige Codes einzugeben, um dieses Konto 12 Stunden lang zu validieren.
Für das Opfer wird vorerst alles weiter funktionieren, aber hier kommt der interessante Teil ins Spiel: Wenn dieses Konto gesperrt ist, sendet der Angreifer eine E-Mail (von einer verfügbaren Adresse, z. B. einem neuen Google Mail-Konto) an WhatsApp Support-Adresse. In dieser Nachricht reicht es aus, ihnen mitzuteilen, dass Ihr Mobiltelefon gestohlen wurde oder verloren gegangen ist und der Dienst deaktiviert werden muss.
Das einzige, was WhatsApp hier tut, ist zu glauben, dass die Identität des Angreifers in einem automatisierten Prozess legitim ist, der keine weiteren Maßnahmen erfordert. Der Dienst hält dies einfach für selbstverständlich und der Prozess endet mit dem erreichten Ziel: Ihr WhatsApp-Konto wird ohne weitere Maßnahmen gesperrt. Der Angreifer kann den Vorgang mehrmals wiederholen, sodass Sie die App fast nicht mehr normal verwenden können.
Diese Sicherheitslücke kann dazu führen, dass Ihr Konto gesperrt wird
Sie müssen auf das Ende des 12-Stunden-Zeitraums warten, den der Angreifer durch Fehlschlagen des Bestätigungscodes eingeleitet hat. Von diesem Moment an können Sie das Konto reaktivieren, aber Sie müssen es weiter versuchen, ohne zu wissen, wann diese 12 Stunden vorbei sind.
Obwohl diese Sicherheitslücke keinen Zugriff auf unsere Nachrichten oder Kontakte bietet, kann uns jeder Angreifer mit unserer Telefonnummer viele Unannehmlichkeiten bereiten. WhatsApp- und Facebook-Manager scheinen derzeit keine mögliche Lösung in Betracht zu ziehen.
