Um andere WhatsApp-Nutzende anhand ihrer Telefonnummer zu finden, kann der Contact Discovery Mechanismus von WhatsApp die Telefon-Kontakte der Nutzenden verwenden. Die Wiener zeigten, wie dieser Mechanismus missbraucht werden konnte, um mehr als 100 Millionen Telefonnummern pro Stunde abzufragen, wodurch sie schlussendlich mehr als 3,5 Milliarden aktive Konten in 245 Ländern bestätigen konnten. „Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit und von einer Quelle beziehungsweise von einem Server beantwortet werden. Darin lag die Sicherheitslücke, denn wir konnten quasi unbegrenzte Anfragen an den Server stellen und so schließlich eine weltweite Erhebung machen“, erklärt Hauptautor Gabriel Gegenhuber von der Universität Wien.
So konnten öffentliche Daten wie Telefonnummer, öffentlicher Schlüssel, Zeitstempel und, falls öffentlich eingestellt, Profilbild und About-Text gesammelt werden. Aus diesen Datenpunkten wiederum war es den IT-Security-Spezialisten möglich, zusätzliche Metadaten zu extrahieren, die Rückschlüsse auf das Betriebssystem, das Alter des Kontos sowie die Anzahl der verbundenen Sekundärgeräte (zum Beispiel WhatsApp Web) zuließen.
Weitere Ergebnisse durch Daten-Analyse
Millionen aktiver WhatsApp-Konten wurden in Ländern identifiziert, in denen die Plattform offiziell verboten ist, darunter China, Iran und Myanmar.
Erkenntnisse auf Bevölkerungsebene: die weltweite Verteilung von Android- (81 Prozent) gegenüber iOS-Geräten (19 Prozent), regionale Unterschiede im Datenschutzverhalten (zum Beispiel die Verwendung öffentlicher Profilbilder oder About-Texte) sowie Unterschiede in der Aktivität und dem Wachstum von Konten in verschiedenen Ländern.
In einigen wenigen Fällen wurde eine Wiederverwendung von kryptografischen Schlüsseln über verschiedene Geräte oder Telefonnummern hinweg festgestellt, was auf Schwächen in inoffiziellen WhatsApp-Clients oder betrügerische Nutzung hindeutet.
Fast die Hälfte aller Telefonnummern, die im Facebook-Datenleck von 2021 (500 Millionen Telefonnummern, verursacht durch Scraping im Jahr 2018) auftauchten, waren weiterhin auf WhatsApp aktiv. Dies verdeutlicht das anhaltende Risiko für kompromittierte Nummern (zum Beispiel Ziel von Scam Calls zu werden).
Die Studie umfasste keinen Zugriff auf Nachrichteninhalte, und es wurden keine personenbezogenen Daten veröffentlicht oder weitergegeben. Alle abgerufenen Daten wurden vor der Veröffentlichung gelöscht. Nachrichteninhalte auf WhatsApp sind „Ende-zu-Ende-verschlüsselt“ und waren zu keinem Zeitpunkt betroffen. „Diese Ende-zu-Ende-Verschlüsselung schützt den Inhalt von Nachrichten, aber nicht unbedingt die damit verbundenen Metadaten“, erklärt der Letztautor Aljosha Judmayer von der Universität Wien. „Unsere Arbeit zeigt, dass Datenschutzrisiken auch entstehen können, wenn solche Metadaten in großem Umfang gesammelt und analysiert werden.“
Datenschutz verbessert, Nachrichten blieben privat
„Diese Ergebnisse erinnern uns daran, dass selbst ausgereifte, weithin vertrauenswürdige Systeme Design- oder Implementierungsfehler enthalten können, die reale Konsequenzen haben“, sagt der Hauptautor Gabriel Gegenhuber von der Universität Wien: „Sie zeigen, dass Sicherheit und Datenschutz keine einmaligen Errungenschaften sind, sondern im Zuge der technologischen Entwicklung kontinuierlich neu bewertet werden müssen.“
„Aufbauend auf unseren früheren Erkenntnissen über Zustellungsbestätigungen und Schlüsselverwaltung tragen wir zu einem langfristigen Verständnis darüber bei, wie sich Messaging-Systeme entwickeln und wo neue Risiken entstehen“, ergänzt Co-Autor Maximilian Günther von der Universität Wien.
„Wir sind der Universität Wien für ihre verantwortungsvolle Partnerschaft und ihren Fleiß im Rahmen unseres Bug-Bounty-Programms dankbar. Durch diese Zusammenarbeit konnte eine neuartige Aufzählungstechnik identifiziert werden, die unsere vorgesehenen Grenzen überschritt und ermöglichte, grundlegende öffentlich zugängliche Informationen zu scrapen. Wir hatten bereits an branchenführenden Anti-Scraping-Systemen gearbeitet, und diese Studie war entscheidend für die Belastungsprüfung und die Bestätigung der unmittelbaren Wirksamkeit dieser neuen Abwehrmaßnahmen. Wichtig ist, dass die Forscher*innen die im Rahmen der Studie gesammelten Daten sicher gelöscht haben und wir keine Hinweise darauf gefunden haben, dass böswillige Akteure diesen Vektor missbraucht haben. Zur Erinnerung: Dank der standardmäßigen End-to-End-Verschlüsselung von WhatsApp blieben die Nachrichten der Nutzer privat und sicher, und die Forschenden hatten keinen Zugriff auf nicht-öffentliche Daten“, so Nitin Gupta, Vice President of Engineering bei WhatsApp.
Ethischer Umgang und Offenlegung
Die Forschung wurde unter strengen ethischen Richtlinien und gemäß den Prinzipien der Responsible Disclosure durchgeführt. Die Ergebnisse wurden umgehend an Meta, den Betreiber von WhatsApp, gemeldet, der seitdem Gegenmaßnahmen (z. B. Rate-Limiting, strengere Sichtbarkeit von Profilinformationen) ergriffen hat, um die festgestellte Schwachstelle zu schließen. Die Autor*innen betonen, dass Transparenz, wissenschaftliche Überprüfung und unabhängiges Testen entscheidend sind, um Vertrauen in globale Kommunikationsdienste zu erhalten. Sie heben hervor, dass eine proaktive Zusammenarbeit zwischen Forschung und Industrie den Datenschutz der Nutzer*innen erheblich verbessern und Missbrauch vorbeugen kann.
