Digital
WhatsApp

WhatsApp-Crasher: So einfach lassen sich Accounts lahmlegen

Die Social Media- und Instant-Messaging-Apps: Facebook, WhatsApp und Instagram auf einem Smartphone, fotografiert am Donnerstag, 14. Januar 2021, in Zuerich. Instagram und WhatsApp gehoeren zur Facebo ...
Die zum Facebook-Konzern gehörende Messenger-App hat eine massive Schwachstelle, die es Angreifern ermöglichen soll, jeden beliebigen WhatsApp-Account lahmzulegen.Bild: keystone

Mit diesem (einfachen) Angriff lässt sich jeder WhatsApp-User lahmlegen

Für viele ist WhatsApp das Kommunikationsmittel schlechthin. Sicherheitsforscher haben nun eine Methode gezeigt, mit der man Nutzer aus der App ausschliessen kann – ohne, dass sie etwas dagegen tun können.
13.04.2021, 08:0613.04.2021, 08:41
Mehr «Digital»
Ein Artikel von
t-online

WhatsApp-Nutzer können aus ihrem Account ausgeschlossen werden, ohne, dass sie etwas dagegen ausrichten können. Das berichtet das Magazin «Forbes» mit Berufung auf die Sicherheitsforscher Canales Pereña und Luis Márquez.

Wie geht das?

Die Angriffsmethode der Forscher nutzt den Registrierungsprozess von WhatsApp aus: Wer sich bei WhatsApp anmeldet, muss eine Handynummer angeben. Im Anschluss erhalten Nutzer eine SMS mit einem PIN zur Registrierung. Wer seinen Account mit einer Zwei-Faktor-Authentifizierung gesichert hat, muss zudem noch einen festgelegten Code eintippen.

Nutzer müssen zur Registrierung aber nicht die Nummer eingeben, die sich in der SIM-Karte des Smartphones befindet. Jeder kann hier eine beliebige Nummer eintippen. Angreifer nutzen also die Nummer, die sie sperren möchten.

Da die Angreifer den Freischaltcode nicht erhalten – der geht ja an den wahren Besitzer der Nummer – können sie hier nur einen Code raten. Wenn Angreifer den Code oft genug falsch eingeben, sperrt WhatsApp als Reaktion den Registrierungsprozess für zwölf Stunden.

Wenn Angreifer nach Ablauf der zwölf Stunden das Ganze mehrmals erneut versuchen, wird die Zeit auf «-1 Sekunden» gesetzt. Eine Registrierung ist dann nicht mehr möglich.

WhatsApp-Crasher loggen seit längerem Nutzer aus.

Wer WhatsApp bereits nutzt, dürfte sich daran jedoch nicht stören, sondern höchstens von den vielen SMS (und eventuell Anrufen) genervt sein. Doch die Angreifer gehen nun zum zweiten Schritt: Sie erstellen eine neue Mail-Adresse (mit Namen des Opfers) und schreiben dem WhatsApp-Support, dass der Account mit der ausgewählten Handynummer doch bitte gesperrt werden soll. Im Normalfall laufe das problemlos ab – auch, weil es sich wohl um einen automatischen Prozess handele, schreiben die Forscher.

WhatsApp-User können von ihrem eigenen Account ausgesperrt werden.
Wenn diese Fehlermeldung angezeigt wird, hat der Angreifer sein Ziel erreicht und das Opfer kann sich vorübergehend nicht bei WhatsApp anmelden.Screenshot: Forbes

Der betroffene Nutzer ist nun aus seinem Account ausgesperrt und kann sich auch nicht mehr einloggen. In diesem Fall bleibt nur noch eins: «Sie müssen WhatsApp kontaktieren und versuchen, jemanden zu finden, der Ihnen helfen kann», zitiert «Forbes» die Sicherheitsforscher.

Ist das neu?

Im Grunde handelt es sich dabei um keine neue Methode – auch, wenn sie vielen Menschen unbekannt war: Sogenannte WhatsApp-Crasher gehen seit Längerem ähnlich vor, um unliebsame Nutzer auszusperren. In der Szene wird dabei von «ausloggen» gesprochen.

WhatsApp-Crasher sind eine Subkultur, die aus Spass – manchmal aber auch aus persönlichen Gründen – sogenannte Textbomben verteilen. Dabei handelt es sich um Zeichenketten, die WhatsApp abstürzen lassen können. Mehr dazu liest du hier beim watson-Medienpartner T-Online.

Was kann man tun?

Nutzer müssen aktuell besonders aufpassen: Denn durch ein Leck bei Facebook sind Millionen Nutzerdaten im Umlauf, darunter auch Handynummern. Wie Sie herausfinden können, ob Sie vom Datenleck betroffen sind, lesen Sie hier .

Laut den Sicherheitsforschern gebe es bisher auch keinen Schutz gegen die Angriffsmethode. Zwar bietet WhatsApp die Möglichkeit, das Konto per Zwei-Faktor-Authentifizierung zu sichern. Doch auch das schütze nicht davor, dass der Account gesperrt werden kann, wie sie gezeigt haben.

Wie reagiert WhatsApp?

Auf Anfrage von «Forbes» wies ein Sprecher von WhatsApp darauf hin, dass ein Missbrauch der Deaktivierungsfunktion gegen die Nutzungsrichtlinien von WhatsApp verstosse. Das Unternehmen beschrieb die Attacke als «unwahrscheinliches Problem» und rät, in der Zwei-Faktor-Authentifizierung eine E-Mail-Adresse einzugeben.

Das könne dem Kundenservice helfen, den Nutzer des Accounts leichter zu identifizieren. Die Option dazu finden Sie bei WhatsApp in den «Einstellungen» unter «Account», dann «Verifizierung in zwei Schritten». Ob WhatsApp an einer Lösung an dem Problem arbeite, wollte das Unternehmen nicht sagen.

Quellen

(dsc/t-online)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Archäologen finden verlorene Stadt in Ägypten
1 / 13
Archäologen finden verlorene Stadt in Ägypten
Sensationsfund: Die grösste antike Stadt, die jemals in Ägypten gefunden wurde.
quelle: keystone
Auf Facebook teilenAuf X teilen
17 Dinge, die du deinem 20-jährigen Du sagen würdest
Video: watson
Das könnte dich auch noch interessieren:
30 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
neutrino
13.04.2021 09:06registriert Mai 2017
Ehrlicherweise muss man sagen, dass die Methode so bei Telegram und Signal auch funktioniert.
1125
Melden
Zum Kommentar
avatar
Rethinking
13.04.2021 09:45registriert Oktober 2018
„...und rät, in der Zwei-Faktor-Authentifizierung eine E-Mail-Adresse einzugeben.“

Dadurch erhält WhatsApp dann neben neben meiner Handynummer auch noch meine Mailadresse...

Das dürfte dem Konzern gefallen...
1027
Melden
Zum Kommentar
avatar
NoNo JaJa
13.04.2021 09:14registriert Januar 2021
😂 Das könne dem Kundenservice helfen, den Nutzer des Accounts leichter zu identifizieren.

Genau. Geben Sie bitte soviel persönliche Daten an wie nur möglich, damit wir ein genaueres Profil von Ihnen erstellen können.
Da fragt man sich, ob das ein Bug oder ein Feature ist 😀
805
Melden
Zum Kommentar
30
So will der Salt-Chef die Konkurrenten Sunrise und Swisscom übertrumpfen
Der kleinste der drei Telekom-Anbieter in der Schweiz wächst stärker als die Konkurrenz. Nun will die Firma des französischen Milliardärs Xavier Niel mehr in die Qualität investieren, aber nicht auf Rabatte verzichten.

Wer die Website der Telekom-Firma Salt aufruft, wird von Rabatten fast erschlagen. Auf viele Mobilfunk-Abos gibt es 55 bis 70 Prozent Rabatt. Eine Ausnahme ist das nicht.

Zur Story