Hacker könnten, das wurde jetzt bekannt, theoretisch WhatsApp-Nutzer vom Dienst aussperren.
Angriffspunkt wäre in einem solchen Fall die Registrierungsfunktion des Messengers. Wenn diese von jemand anderem mit einer fremden Telefonnummer genutzt wird, wird an diese in WhatsApp ein Bestätigungscode gesandt.
Erst Sperrung, dann Löschung und Ausschluss
Da die Zielperson dabei den Code nicht kennt, wird sie ihn auch nicht bestätigen können. Nach drei Falschversuchen wird der Account für 12 Stunden gesperrt – eigentlich aus Sicherheitsgründen.
Komplett gelöscht wird ein Account, wenn dieses Problem dreimal in Folge auftritt. Dann wird die Nummer gesperrt und der Account ist nicht mehr zu erreichen.
Zwei-Faktor-Authentifizierung wirkt nicht
Auch die Zwei-Faktor-Authentifizierung von WhatsApp kann diese Art der bösartigen Attacke auf Accounts, bei der zumindest keine Daten gestohlen werden können, nicht verhindern. Die Anforderung neuer Codes ist nämlich nicht von ihr geschützt. Entdeckt wurde der Bug von den Sicherheitsforschern Luis Márquez Carpintero und Ernesto Canales Pereña.
Das Schema ist eine Abwandlung von Phishing-Attacken, bei denen die Bestätigungscodes irgendwie von Hackern abgefangen und selbst zum Zugriff genutzt werden. Ob und wie oft es schon angewandt wurde, ist nicht bekannt.
WhatsApp nennt das Vorkommen solcher Angriffe auf Anfrage „unwahrscheinlich“ und zeigt zum jetzigen Zeitpunkt keinerlich Regung, es irgendwie zu beheben.
