Sicherheitsforscher warnt: So einfach lassen sich Daten von WhatsApp-Nutzern auslesen

Über die Webversion von WhatsApp lässt sich erstaunlich viel über deren Nutzer herausfinden. Zum Beispiel können alle bei dem Messenger hinterlegten Telefonnummern automatisiert ausgelesen werden, inklusive zugehöriger Profilbilder, Statustext und Verbindungsstatus (online oder offline). Anhand dieser Informationen lässt sich eine Datenbank aller Nutzer anlegen, die die Standard-Datenschutzeinstellungen von WhatsApp verwenden. Darauf hat der niederländische Sicherheitsforscher Loran Kloeze in seinem Blog hingewiesen.

„Das Erstellen einer Datenbank mit Telefonnummern, Profilbildern und Statusinformationen fast aller WhatsApp-User hat sich als sehr einfach herausgestellt. Der Nutzer muss nicht einmal in der eigenen Kontaktliste sein“, schreibt Kloeze.

Möglich ist die Datenabfrage mittels der Webversion und einer Programmierschnittstelle (API) von WhatsApp. Normalerweise fordert die Webanwendung darüber alle Informationen zu einer bestimmten Telefonnummer von den WhatsApp-Servern an. Das von Kloeze aufgedeckte Problem besteht darin, dass der Messaging-Dienst die Zahl der Anfragen an seine Server nicht limitiert. Dadurch lassen sich mittels eines Skripts massenhaft Zufallsanfragen stellen, um bei WhatsApp registrierte Telefonnummern zu finden. Jeder Treffer liefert zusätzlich Profilbild, Statustext und Verbindungsstatus.

Eine auf diese Weise erstellte Datenbank ermöglicht Einblicke in das Verhalten jedes einzelnen Nutzers. Beispielsweise könnte bei regelmäßiger Abfrage über einen längeren Zeitraum aus den vorhandenen Daten eine Zeitleiste für eine bestimmte Telefonnummer rekonstruiert werden, an der sich mit einem Blick ablesen ließe, wann der User online bzw. offline war oder wie häufig er sein Profilbild gewechselt hat. Denkbar ist auch eine vollständige Sammlung aller Mobilfunknummern von WhatsApp-Nutzern eines Landes. Solche Daten wären etwa für Spam-Versender sehr wertvoll.

Immerhin werden bei der Abfrage nur die Telefonnummern und nicht auch die Namen der Nutzer übermittelt, sodass sie nicht direkt identifizierbar sind. Kloeze merkt jedoch an, dass die ebenfalls übertragenen Profilfotos mittels Gesichtserkennung eventuell bestimmten Personen zugeordnet werden könnten: „Stell dir vor, ich gehe spazieren und mache ein Foto von einem Fremden. Dann füttere ich die Datenbank mit diesem Foto und weiß nach wenigen Minuten, welche Telefonnummer zu diesem Foto gehört. Ziemlich erschreckend, oder?“

Nach eigenen Angaben hat Kloeze den WhatsApp-Mutterkonzern Facebook über seinen Fund informiert. Das Unternehmen räumte in einer E-Mail ein, dass diese Form der Datenabfrage möglich sei. Es sehe darin aber keine Bedrohung der Sicherheit oder Privatsphäre. Gegenüber Motherboard erklärte ein WhatsApp-Sprecher, man setze hinter den Kulissen auf Gegenmaßnahmen, um Missbrauch zu erkennen und massenhafte Datenabfragen zu identifizieren und zu blockieren.

Wenn du dich nicht darauf verlassen möchtest, kannst du auch selbst Maßnahmen ergreifen, um die beschriebene Art der Datenabfrage zu verhindern. Öffne zunächst WhatsApp auf deinem Mobilgerät und anschließend das Einstellungsmenü (Android: Drei-Punkte-Menü oben rechts; iOS: Zahnradsymbol unten rechts). Unter Account > Datenschutz findest du die Punkte „Zuletzt online“, „Profilbild“ und „Info“. Die Standardeinstellung „Jeder“ solltest du hier jeweils auf „Meine Kontakte“ oder „Niemand“ umstellen.

Die Art des von Kloeze geschilderten Problems, praktisch uneingeschränkt Nutzerdaten sammeln zu können, ist an sich nicht neu. Sicherheitsforscher haben ähnliche Schwachstellen auch schon bei anderen Apps nachgewiesen. Es zeugt aber von einem potenziellen Datenschutzproblem beim weltweit größten Messaging-Anbieter. Wer Facebook oder WhatsApp nicht traut, sollte sich nach einem anderen Messenger umsehen. In einem gesonderten Artikel stellen wir drei datenschutzfreundliche Alternativen vor.