Ein Forschungsteam aus Österreich hat neue Forschungsergebnisse zu WhatsApp veröffentlicht: Das gesamte öffentliche Mitgliederverzeichnis war temporär im Internet abrufbar ohne starke Schutzmechanismen.
Das Forschungsteam konnte dadurch Telefonnummern und öffentlich sichtbare Profildaten herunterladen, darunter auch kryptografische Schlüssel. Insgesamt sind sie auf über 3,5 Milliarden WhatsApp-Konten gestoßen. Gemessen an der Anzahl betroffener Nutzer handelt es sich damit vermutlich um den größten bekannten Datenabfluss dieser Art.
Die Forscher sind keine Unbekannten: Teile des Teams haben sich bereits in der Vergangenheit intensiv mit WhatsApp beschäftigt und unter anderem untersucht, welche Informationen des Diensts trotz Ende-zu-Ende-Verschlüsselung öffentlich sind oder wie sich die Verschlüsselung unter bestimmten Umständen herabstufen lässt.
Ab September 2024 wurden die Schwachstellen mehrfach gemeldet aber passiert ist wenig. Erst als die unkoordinierte Veröffentlichung eines wissenschaftlichen Papers angedroht wurde, ist Bewegung in die Sache gekommen. Aus den frei zugänglichen Daten lassen sich überraschend viele Informationen ziehen, die für einzelne Nutzer sogar gefährlich werden können.
Problematisch sind die Informationen nicht nur für die User, sondern auch für Meta selbst. Die Daten erlauben unter anderem Rückschlüsse darauf, wie viele WhatsApp-Nutzer es pro Land gibt, wie sie sich auf Android und iOS verteilen, wie hoch die Abwanderung ist und wem welche Telefonnummer gehört.
Meta selbst spricht von „Scraping“ und betont, dass die im Rahmen der Studie gesammelten Daten gelöscht worden sind. Es gebe keine Hinweise auf einen Missbrauch durch Dritte, und selbstverständlich seien Nachrichteninhalte weiterhin Ende-zu-Ende-verschlüsselt. Gleichzeitig bedankt sich das Unternehmen bei den Forschern für die Zusammenarbeit im Bug-Bounty-Programm und verweist auf neue Anti-Scraping-Maßnahmen, deren Wirksamkeit durch die Studie bestätigt worden sei.
Besonders aufmerksam sind die Forscher auf Länder, in denen WhatsApp offiziell verboten war bzw. ist geworden. Trotz bestehender Verbote fanden die Forscher Millionen aktiver Konten z.B. im Iran, in Myanmar oder sogar in Nordkorea. Für Nutzer in solchen Regionen kann allein die Zuordnung einer Telefonnummer zu WhatsApp gefährlich werden.
Auch öffentliche Profilinformationen spielen eine große Rolle. Rund ein Drittel der Nutzer hat Angaben im „Info“-Feld hinterlegt, die sehr persönlich sein können: politische Ansichten, Religion oder Hinweise auf Drogenkonsum. Dazu kommen Profilbilder, die bei über der Hälfte aller User öffentlich einsehbar sind. In vielen Fällen lassen sich daraus weitere Informationen
Die technische Grundlage der Abfragen war das WhatsApp Teilnehmerverzeichnis. Dieses muss für WhatsApp User grundsätzlich zugänglich sein, da man wissen muss, wen man über die App erreichen kann. Üblicherweise erfolgt das über den Abgleich des eigenen Adressbuchs. Dass jedoch das gesamte Verzeichnis nahezu unbegrenzt abgefragt werden konnte, ist als Kernproblem identifiziert worden.
Die Forscher haben ihre Ergebnisse unter dem Titel „Hey there You are using WhatsApp Enumerating Three Billion Accounts for Security and Privacy“ veröffentlicht. Für User fällt die konkrete Empfehlung überschaubar aus. Profilfoto und Infofeld sollten kritisch überprüft werden.
Für Meta sind mehrere technische Empfehlungen ausgesprochen worden, darunter strengere Begrenzungen von Serverabfragen, eine stärkere Abschottung von Profilinformationen und eine Vereinheitlichung der Codebasis. Erste Maßnahmen sind bereits umgesetzt worden, etwa bei der Schlüsselwiederverwendung und beim Abruf von Profilbildern.
Unterm Strich zeigt auch diese Untersuchung wieder sehr deutlich: Ende-zu-Ende-Verschlüsselung schützt Inhalte, aber nicht automatisch alle Metadaten. Und genau dort lohnt es sich für User, genauer hinzusehen.