Mit einigen technischen Tricks ist der Diebstahl kompletter Konten bei WhatsApp möglich. Wir zeigen, wie es geht und was die Mobilfunkanbieter dazu sagen.
WhatsApp-Kontendiebstahl: wirklich so einfach?
Die aktuelle Sicherheitslücke wurde zuerst vom Sicherheitsmagazin Bleeping Computer in den USA bekanntgemacht. Entdeckt hat sie hingegen Rahul Sasi, CEO von CloudSEK, einer IT-Sicherheitsfirma. Durch Ausnutzung der Sicherheitslücke können Angreifer ein WhatsApp-Konto komplett übernehmen und so beispielsweise Zugriff auf persönliche Nachrichten oder Kontaktlisten bekommen - mit allen relevanten Daten wie Telefonnummern und E-Mail-Adressen.
Aber: Ganz so einfach geht es in der Realität nicht. Um den Trick umzusetzen, ist die Kenntnis der Telefonnummer des Opfers nötig. Außerdem muss das Opfer in gewisser Weise mitspielen.
Überzeugungsarbeit durch Angreifer
In der Praxis läuft der Angriff in etwa so ab:
Der Angreifer ruft das Opfer an. Anschließend muss das Opfer dazu gebracht werden, eine andere Telefonnummer anzugreifen, die mit einem MMIC (Man Machine Interface Code) beginnt.
MMIC wird normalerweise von Mobilfunkanbietern genutzt, um Anrufe weiterzuleiten - etwa, wenn ein Anschluss nicht erreichbar ist. Ein MMIC kann aber manipuliert werden, sodass Anrufe an ein anderes, nicht autorisiertes Endgerät weitergeleitet werden.
Das Opfer ruft nun eine zehnstellige Nummer an, die entweder mit * oder # beginnt. Diese Nummer gehört dem Angreifer. Durch den Anruf stimmt das Opfer zu, dass alle eingehenden Anrufe in Zukunft an eine andere Nummer geleitet werden.
Der Angreifer startet jetzt auf dem eigenen Gerät die Registrierung für ein WhatsApp-Konto mit der Nummer des Opfers. Der Verifizierungscode, der via Anruf zum Opfer kommt, wird weitergeleitet an den Angreifer.
Der Angreifer hat nun vollen Zugriff auf das WhatsApp-Konto des Opfers. Auch Sicherheitsfeatures wie ein 2FA-Code können nun vom Angreifer eingerichtet werden. Dadurch ist ein Zugriff auf das Konto durch das Opfer nicht mehr möglich.
Hürden für den Angreifer
Das erwähnte Magazin Bleeping Computer konnte diesen Angriff bei den US-amerikanischen Providern Verizon und Vodafone erfolgreich durchführen. Ganz so einfach sieht es in der Praxis aber nicht aus. Zuerst muss der Mobilfunkanbieter einen MMIC verwenden, der Anrufe in jedem Fall immer weiterleitet und nicht nur dann, wenn zum Beispiel die Leitung besetzt ist. Sonst müsste der Angreifer es schaffen, ein Opfer am Telefon zu halten, bis der gesamte Angriff vollzogen ist. Dies würde funktionieren, da das Telefon des Opfers im Moment besetzt ist, da es schließlich mit dem Angreifer telefoniert.
Rechtmäßige Kontenbesitzer erhalten außerdem sofort eine Nachricht, wenn das eigene WhatsApp-Konto auf einem anderen Gerät registriert wird. Normalerweise wird bei einer Anrufweiterleitung außerdem eingeblendet, dass diese aktiviert ist, was den Angriff ebenfalls erschwert.
Einen einfachen Schutz gibt es übrigens, indem Sie einfach 2FA aktivieren. Sobald diese Autorisierungsmethode eingeschaltet ist, haben Angreifer in keinem Fall eine Chance. Außerdem gilt natürlich: Rufen Sie niemals irgendwelche Nummern an, die Ihnen Unbekannte am Telefon mitteilen. Stellen Sie Fragen, sobald eine Aufforderung kommt, die Sie nicht verstehen. Im Zweifelsfall legen Sie einfach auf. Denn: Nichts ist so wichtig, dass Sie nicht einen Augenblick überlegen oder sich informieren können. Menschen, die am Telefon Druck auf Sie ausüben, sollten Sie auf keinen Fall vertrauen.
Statements der Telekom und von Telefónica/O2
Zwei große Mobilfunkanbieter in Deutschland haben sich inzwischen zu der Sicherheitslücke geäußert und zumindest zwischen den Zeilen weitgehend Entwarnung gegeben.
Die Telekom sagt, dass dieser Angriff prinzipiell zwar möglich ist, aber dass ihnen ein realer Fall noch nicht untergekommen ist. Die große Einstiegshürde (die wir soeben im vorherigen Abschnitt erwähnt haben) ist für die Telekom ein Grund, warum die Angriffswahrscheinlichkeit eher als gering eingestuft wird. Wahrscheinlicher aus Sicht der Telekom ist ein Angriff, bei dem eine unbedarfte Person ihr Smartphone für einen Moment an vermeintlich hilfsbereite Dritte übergibt, damit diese ein angebliches Problem beheben können. In dieser Zeit wäre auch die Deaktivierung der 2FA-Methode denkbar.
Telefónica/O2 äußert ähnliche Bedenken. Auch hier sieht man das Potenzial für eine Ausnutzung der Lücke in freier Wildbahn als eher gering an. Dennoch schließt Telefónica/O2 nicht aus, dass ein solcher Angriff erfolgreich sein könnte. Das Unternehmen rät daher dazu, Anweisungen von Unbekannten keine Folge zu leisten und Informationen aus unsicheren Quellen generell skeptisch gegenüberzustehen. Zusätzlich rät Telefónica/O2 dazu, wie von uns bereits beschrieben, 2FA im eigenen WhatsApp-Konto zu aktivieren. Dies würde auch laut diesem Dienstleister dazu führen, dass ein (erfolgreicher) Angriff so gut wie unmöglich wird.