WhatsApp: Hacker sperren ahnungslose Nutzer aus
Das Wichtigste in Kürze
- Weltweit nutzen rund zwei Milliarden Menschen den Instant Messenger WhatsApp.
- Hacker können jeden dieser Nutzer problemlos aus ihrem eigenen Konto aussperren.
- Grund: WhatsApp setzt auf künstliche Intelligenz – statt auf echte Mitarbeiter.
WhatsApp ist die beliebteste Kommunikations-App überhaupt. Rund zwei Milliarden Nutzer zählt der Instant Messenger. Und doch hat die App eine Schwachstelle, die es Hackern ermöglicht, einen beliebigen Nutzer problemlos von seinem Konto auszusperren.
Einem Bericht des Online-Magazins «Forbes» zufolge geht das ganz einfach: Der Übeltäter benötigt nichts anderes als die Nummer seines Opfers, ein beliebiges Smartphone und einen E-Mail-Account.
E-Mail genügt, um fremdes Konto zu deaktivieren
Nun wendet sich der Angreifer mit der fremden Nummer per Mail an den WhatsApp-Support: «Guten Tag, mein Handy wurde gestohlen. Bitte deaktivieren Sie meinen WhatsApp-Account.»
Problem: E-Mails solcher Art werden nicht von echten Personen, sondern von einer Künstlichen Intelligenz (KI) bearbeitet. Gewisse Stichwörter wie «Diebstahl» und andere genügen darum, um einen automatisierten Sperr-Prozess in die Wege zu leiten.
Allenfalls erkundigt sich die KI, ob bei der Deaktivierungsanfrage die richtige Nummer angegeben worden sei. Da diese Rückfrage an den Angreifer gerichtet wird, kann er diese aber ohne weiteres bestätigen.
Damit wird der eigentliche Besitzer der Nummer von seinem Konto ausgesperrt. Er hat plötzlich keinen Zugang mehr auf sein Konto.
Nau.ch hat es getestet: Offenbar ist diese Vorgehensweise auch zwei Tage nach Offenlegung durch «Forbes» möglich. Es dauerte keine Minute, bis das Konto unseres Versuchskaninchens vorübergehend gesperrt wurde.
WhatsApp: Hacker verhindern, dass Nutzer ihr Konto zurückholen
Grund zur Panik? Jein. Eigentlich müsste der User sein Konto nun einfach neu verifizieren, um den Zugang zu seinem Konto zurückzuerlangen.
Doch auch hier kann der Hacker dazwischenfunken: WhatsApp lässt nämlich nur eine bestimmte Anzahl Registrierungsversuche zu. Hat der Angreifer im Vorfeld bereits genügend Anmeldeversuche mit der fremden Nummer angestellt, sieht es für das Opfer schlecht aus. Denn dann werden neue Registrierungen für diese bestimmte Nummer für mindestens 12 Stunden gesperrt.
Was heisst das für den Nutzer? Der Angreifer kann durch sein Vorgehen keine Daten seines Opfers abgreifen. Er hat zu keinem Zeitpunkt Zugang zu dem Konto. Dafür aber kann er direkten Einfluss auf die Erreichbarkeit des Geschädigten nehmen.
Sogar WhatsApp-Boss nutzt Konkurrenz-Anwendung
Je nach Situation kann dies gravierende Folgen haben. Sei es etwa wegen eines wichtigen virtuellen Business-Meetings. Oder wegen einer unbeantworteten Nachricht des besorgten Ehepartners. Von WhatsApp gab es bisher kein Statement.
Durch das jüngst veröffentlichte Datenleck bei Facebook wurde bekannt, dass sogar der CEO von WhatsApp-Inhaberin Facebook die Konkurrenz-Anwendung «Signal» nutzt. Vielleicht ist es Zeit, es dem WhatsApp-Boss gleichzutun.