Der Journalist Jordan Wildon hat eine Entdeckung gemacht, die alle Nutzer von WhatsApp -Gruppen aufhorchen lassen sollte, wie das deutsche IT-Portal Heise.de berichtet. Tatsächlich ist es derzeit möglich, Einladungslinks in Chatgruppen über Suchmaschinen zu finden und damit die Chatverläufe wildfremder Gruppenteilnehmer einzusehen und den Gruppen beizutreten. Bei Google ist diese Lücke offenbar zwar mittlerweile geschlossen – bei anderen grossen Suchmaschinen hingegen noch nicht.
Möglich machen das die Gruppeneinladungslinks. Diese kann man an Nutzer verschicken, die damit einfachen Zugang zu einer WhatsApp-Gruppe erhalten sollen. Das ist durchaus so gewollt – problematisch wird es nur, wenn solch ein Link frei im Internet auffindbar ist: Und offenbar ist genau das der Fall.
Your WhatsApp groups may not be as secure as you think they are.The "Invite to Group via Link" feature allows groups to be indexed by Google and they are generally available across the internet. With some wildcard search terms you can easily find some… interesting… groups. pic.twitter.com/hbDlyN6g3q— Jordan Wildon (@JordanWildon) February 21, 2020
Wer in Google gezielt nach «chat.whatsapp.com» suchte, bekam auch Direkt-Links zu fremden Gruppen angezeigt, mit denen man diesen direkt beitreten konnte. Darunter waren offensichtlich auch Gruppen, deren Teilnehmer wohl eher nicht öffentlich identifizierbar sein wollen.
Sicherheitsforscherin Jane Manchun Wong fand rund eine halbe Million Links, die zu WhatsApp-Gruppen führten. Schuld daran dürfte eine fehlerhafte Konfiguration der WhatsApp-Server sein, die offenbar nicht verhinderten, dass Google und andere Suchmaschinen die einzelnen Links in ihren Suchindex aufnahmen.
Wie Manchun Wong berichtet, hat WhatsApp seine Server inzwischen entsprechend angepasst und die Links für Suchmaschinen als Inhalte gekennzeichnet, die nicht auffindbar sein sollen.
Looks like WhatsApp has fixed it by removing the existing listing from Google and adding the `noindex` meta tag on the chat invitation links! :D pic.twitter.com/kict2bsENu— Jane Manchun Wong (@wongmjane) February 22, 2020
Zumindest bei Google konnten wir entsprechende Links tatsächlich nicht mehr aufspüren. Bei anderen Suchmaschinen gelang uns das dagegen noch mühelos.
Nutzer von WhatsApp-Gruppen, die sicherstellen wollen, dass ihre Gruppe möglichst nicht von Fremden besucht wird, können dem Hinweis von Jordan Wilson folgen: Zwar lässt sich der Link nicht deaktivieren, man kann ihn aber zurücksetzen. So werden bisherige Links wertlos – die neu erzeugten Links sollten aufgrund der angepassten Servereinstellung bei WhatsApp nicht mehr von Suchmaschinen gefunden werden.
Um den Einladungslink zurückzusetzen, geht man in die Gruppeneinstellungen und tippt dort auf «Mit Link zur Gruppe einladen» und dann auf «Link zurücksetzen».
(jnm/t-online.de)
Solche User sollten auf Whatsapp eh verzichten.