Theoretisch kann jeder, der die mit WhatsApp verknüpfte Handynummer eines Nutzers kennt, herausfinden, über welches Gerät dieser auf den Messenger zugreift. Laut Sicherheitsexperten kann das enorme Probleme bringen.
Der inzwischen zu Meta gehörende Messenger WhatsApp ist der meistgenutzte der Welt. Das liegt unter anderem an der breiten Palette von Funktionen, die WhatsApp inzwischen bietet. Unter anderem kann man den Messenger schon seit geraumer Zeit über mehrere Endgeräte nutzen. Die meisten texten übers Smartphone via WhatsApp. Es gibt aber auch eine gesonderte App für Desktop-Nutzer. Und genau dieser Umstand kann laut Experten recht einfach ausgenutzt werden. TECHBOOK erklärt die Hintergründe.
Für WhatsApp genutzte Geräte können identifiziert werden
Wie Tal Be’ery, Mitbegründer und CTO des Krypto-Wallet-Anbieters ZenGo, zu dem Branchen-Magazin Techcrunch sagte, kann theoretisch jeder herausfinden, mit welchem Endgerät die Person, mit der man chattet, WhatsApp nutzt. Dafür brauche es nicht einmal ein besonderes Tool, so Be’ery. Das gängige Entwicklertool, über das jeder Browser verfügt, reiche aus. Für Be’ery ist das ein klares Datenschutzproblem. Grund dafür ist laut dem IT-Experten die Ende-zu-Ende-Verschlüsselung (kurz: E2EE, was für „end-to-end encryption“ steht), die ja eigentlich die Privatsphäre der Nutzer schützen soll.
WhatsApp-Geräte per Entwicklertool identifizieren
Die Verschlüsselung wurde 2016 von WhatsApp eingeführt und ermöglicht durch eine Hintertür die Identifizierung der verwendeten Geräte. Um nämlich E2EE technisch nutzen zu können, wird auf dem Gerät, auf dem WhatsApp installiert ist, ein individueller Schlüssel generiert. Die Verschlüsselung schützt in diesem Fall zwar die WhatsApp-Nachricht selbst, macht aber auch die Identifizierung des verknüpften Geräts möglich.
Wenn nun jemand eine WhatsApp-Nachricht an den betroffenen Empfänger schickt, wird für jedes gekoppelte Gerät des Empfangskontos eigens ein gesonderter Schlüssel generiert. Darauf geht auch Be’ery in einem eigenen Blogpost ein. Die Schlüssel ähneln sich zwar, sind aber anhand einiger Unterschiede gut zu unterscheiden. So ist auch die Identifizierung des Geräts möglich, über das die Nachricht versendet wurde.
Laut dem Experten kann man das einfach über die Entwicklerkonsole des Browsers tun. Auch TECHBOOK hat den Test gemacht und so innerhalb kürzester Zeit herausgefunden, dass eine unserer Redakteurinnen WhatsApp ganz klassisch über zwei Geräte nutzt, wobei das Smartphone die Primärquelle ist.
Warum diese Information gefährlich sein kann
In den Händen eines Ottonormalverbrauchers ist eine solche Information nicht besonders gefährlich. Bei Hackern sieht das Ganze schon anders aus. Für die ist es nämlich sehr wohl relevant, über welche Geräte die Nutzer auf den Dienst zugreifen, um etwa lohnende Ziele auszumachen.
Sicherheitsexpertin Runa Sandvik warnte Techcrunch gegenüber, dass solche Informationen auch für die konkrete Planung eines Angriffs nützlich sein können. Desktop-Geräte seien etwa einfacher zugänglich als mobile Endgeräte wie Smartphones.
Und nicht für klassische Hacker, die es auf Nutzerdaten abgesehen haben, können die Infos interessant sein. Experten weisen außerdem darauf hin, dass auch Stalker so ausmachen könnten, ob jemand zu Hause ist oder nicht, je nachdem, welches Gerät aktuell zum Einsatz kommt. Auch neu hinzugefügte Geräte werden sofort aufgelistet; ein heimliches Zweithandy kann so auch schnell entdeckt werden.
Meta sieht keinen Handlungsbedarf
Für dieses Szenario ist es wichtig zu erwähnen, dass auch das Blockieren einer Person die Problematik nicht löst. Solange jemand über die Telefonnummer verfügt, mit der das WhatsApp-Konto verknüpft ist, kann er auch die entsprechenden Informationen auslesen. Unser TECHBOOK-Test hat das bestätigt. Es mussten nicht einmal Daten zwischen den Accounts ausgetauscht worden sein. Das einseitige Hinzufügen einer Telefonnummer hat ausgereicht. Auf diese Gefahr weist auch Tal Be’ery hin; seine Ergebnisse hat er zudem an das Unternehmen Meta weitergeleitet.
Mit den Ergebnissen konfrontiert, antwortete Meta daraufhin, dass die Technik nötig sei, um eine Ende-zu-Ende-Verschlüsselung auch für mehrere Partnergeräte möglich zu machen. Zudem heißt es in der Antwort an Be’ery: „Ein Angreifer, der beobachtet, dass sich der Sicherheitscode des Opfers geändert hat, wird nicht unbedingt zuverlässig darauf schließen können, dass das Opfer zum Beispiel das Gerät gewechselt oder ein neues Telefon gekauft hat.“
Auch auf Anfrage von Techcrunch verwies Zade Alsawah, ein Sprecher des Unternehmens, auf die Wichtigkeit der Funktion, mit mehreren Geräten WhatsApp nutzen zu können. „Das ist, was die Nutzer wollen und erwarten“, heißt es dazu.
