WhatsApp: Hacker sperren ahnungslose Nutzer aus

Hacker können andere Nutzer von WhatsApp mit Leichtigkeit von ihrem Konto aussperren. Dagegen tun können die User derzeit nur wenig.

Das Wichtigste in Kürze

Weltweit nutzen rund zwei Milliarden Menschen den Instant Messenger WhatsApp.
Hacker können jeden dieser Nutzer problemlos aus ihrem eigenen Konto aussperren.
Grund: WhatsApp setzt auf künstliche Intelligenz – statt auf echte Mitarbeiter.

WhatsApp ist die beliebteste Kommunikations-App überhaupt. Rund zwei Milliarden Nutzer zählt der Instant Messenger. Und doch hat die App eine Schwachstelle, die es Hackern ermöglicht, einen beliebigen Nutzer problemlos von seinem Konto auszusperren.

Einem Bericht des Online-Magazins «Forbes» zufolge geht das ganz einfach: Der Übeltäter benötigt nichts anderes als die Nummer seines Opfers, ein beliebiges Smartphone und einen E-Mail-Account.

E-Mail genügt, um fremdes Konto zu deaktivieren

Nun wendet sich der Angreifer mit der fremden Nummer per Mail an den WhatsApp-Support: «Guten Tag, mein Handy wurde gestohlen. Bitte deaktivieren Sie meinen WhatsApp-Account.»

Problem: E-Mails solcher Art werden nicht von echten Personen, sondern von einer Künstlichen Intelligenz (KI) bearbeitet. Gewisse Stichwörter wie «Diebstahl» und andere genügen darum, um einen automatisierten Sperr-Prozess in die Wege zu leiten.

WhatsApp KI — Mit dieser einfachen Nachricht lässt sich die WhatsApp-KI täuschen. - Nau.ch

Allenfalls erkundigt sich die KI, ob bei der Deaktivierungsanfrage die richtige Nummer angegeben worden sei. Da diese Rückfrage an den Angreifer gerichtet wird, kann er diese aber ohne weiteres bestätigen.

Damit wird der eigentliche Besitzer der Nummer von seinem Konto ausgesperrt. Er hat plötzlich keinen Zugang mehr auf sein Konto.

Nau.ch hat es getestet: Offenbar ist diese Vorgehensweise auch zwei Tage nach Offenlegung durch «Forbes» möglich. Es dauerte keine Minute, bis das Konto unseres Versuchskaninchens vorübergehend gesperrt wurde.

Gmail WhatsApp KI — Die KI antwortet zügig: Keine Minute ist vergangen, schon ist der fremde Account gesperrt.

WhatsApp konto — Diese Meldung erscheint, wenn die vorübergehende Deaktivierung des Kontos aktiviert worden ist.

WhatsApp: Hacker verhindern, dass Nutzer ihr Konto zurückholen

Grund zur Panik? Jein. Eigentlich müsste der User sein Konto nun einfach neu verifizieren, um den Zugang zu seinem Konto zurückzuerlangen.

Doch auch hier kann der Hacker dazwischenfunken: WhatsApp lässt nämlich nur eine bestimmte Anzahl Registrierungsversuche zu. Hat der Angreifer im Vorfeld bereits genügend Anmeldeversuche mit der fremden Nummer angestellt, sieht es für das Opfer schlecht aus. Denn dann werden neue Registrierungen für diese bestimmte Nummer für mindestens 12 Stunden gesperrt.

WhatsApp Verifizierung — WhatsApp: Wer hier genügend oft eine fremde Nummer eingibt, verhindert, dass sich deren Besitzer bei WhatsApp registrieren kann. - Nau.ch

Was heisst das für den Nutzer? Der Angreifer kann durch sein Vorgehen keine Daten seines Opfers abgreifen. Er hat zu keinem Zeitpunkt Zugang zu dem Konto. Dafür aber kann er direkten Einfluss auf die Erreichbarkeit des Geschädigten nehmen.

Sogar WhatsApp-Boss nutzt Konkurrenz-Anwendung

Je nach Situation kann dies gravierende Folgen haben. Sei es etwa wegen eines wichtigen virtuellen Business-Meetings. Oder wegen einer unbeantworteten Nachricht des besorgten Ehepartners. Von WhatsApp gab es bisher kein Statement.

Durch das jüngst veröffentlichte Datenleck bei Facebook wurde bekannt, dass sogar der CEO von WhatsApp-Inhaberin Facebook die Konkurrenz-Anwendung «Signal» nutzt. Vielleicht ist es Zeit, es dem WhatsApp-Boss gleichzutun.