Bei WhatsApp wurde diese Schwachstelle entdeckt. Diese ermöglichte es Usern, die Accounts anderer Nutzer einfach per Mail zu löschen.
WhatsApp zählt zweifelsohne zu den beliebtesten Messaging-Lösungen weltweit, nicht zuletzt aufgrund seiner vollständigen Ende-zu-Ende-Verschlüsselung (E2EE). Doch E2EE allein reicht nicht aus, um die Sicherheit der Benutzerkonten zu gewährleisten. Während sich die Dienste ständig weiterentwickeln und immer weniger Sicherheitslücken aufweisen, wurde kürzlich eine besonders bedenkliche Schwachstelle bei WhatsApp aufgedeckt: Jeder konnte das Konto eines Nutzers ohne dessen Zustimmung aus der Ferne deaktivieren. (via: Android Police)
Normalerweise bietet WhatsApp die Möglichkeit, das eigene Konto ferngesteuert zu deaktivieren, falls das Haupttelefon gestohlen wurde und man keinen Zugriff auf die App hat. Laut den Support-Dokumenten von WhatsApp genügt eine E-Mail mit dem Betreff "Verloren/Gestohlen: Bitte deaktiviere mein Konto" sowie der vollständigen internationalen Telefonnummer, um die Deaktivierung zu beantragen. In einer idealen Welt könnte dieses System für ein Unternehmen mit nur wenigen Benutzerkonten funktionieren, jedoch nicht für WhatsApp mit seinen Milliarden von Nutzern.
WhatsApp: Telefonnummer reichte aus, um fremde Accounts löschen zu lassen
Meta hat die merkwürdige Sicherheitslücke bei WhatsApp inzwischen geschlossen.
Der Deaktivierungsprozess bei WhatsApp ist vollautomatisiert und überprüft nicht, ob der Absender der E-Mail tatsächlich der Eigentümer des zu deaktivierenden Kontos ist. In einem solchen Szenario ist es leicht vorstellbar, wie eine Person, die Ihre Telefonnummer kennt, eine temporäre E-Mail-Adresse erstellt und ohne Ihr Wissen die Deaktivierung Ihres Kontos beantragt.
Professionelle Kriminelle könnten noch einen Schritt weitergehen und dieses System in großem Umfang ausnutzen, indem sie automatisierte Skripte verwenden, um willkürlich WhatsApp-Konten zu deaktivieren. Durch wiederholte Denial-of-Service-Angriffe (DOS) könnten sie unschuldige Opfer dazu zwingen, für den Zugriff auf ihr Konto zu bezahlen. Darüber hinaus könnten sie Kontaktinformationen stehlen, um weitere Personen ins Visier zu nehmen, oder einfach Konversationen löschen, die ohne aktuelles WhatsApp-Backup nicht wiederhergestellt werden können.
Meta reagiert und deaktiviert sofortige Kontolöschungen
Zum Glück hat Meta diese Sicherheitslücke erkannt – möglicherweise auch aufgrund einer hohen Anzahl von Deaktivierungsanfragen. Die sofortige Deaktivierung von Konten wurde vorübergehend ausgesetzt. Falls Sie Opfer eines solchen Angriffs waren, können Sie gemäß den Support-Dokumenten Ihr deaktiviertes Konto und alle ungelesenen Nachrichten innerhalb von 30 Tagen wiederherstellen.
Das schnelle Eingreifen von WhatsApp ist lobenswert, doch die nun eingestellte Funktion scheint eine Standardimplementierung aus den Anfangszeiten der App zu sein. In einem Tweet schlug der Cybersicherheitsberater Jake Moore vor, dass WhatsApp das System wieder aktivieren sollte, jedoch nur Deaktivierungsanfragen von E-Mails akzeptieren sollte, die mit den tatsächlichen WhatsApp-Kontoinhabern verknüpft sind. Zudem sollten zwei-Faktor-Authentifizierung für alle WhatsApp-Konten verpflichtend sein, anstatt optional wie derzeit.
Andere Leser interessiert auch:
Sicherheitslücke bei WhatsApp entdeckt: Angreifer löschen andere Accounts mit nur einer Mail - CHIP - CHIP Online Deutschland
Read More
No comments:
Post a Comment