Durch das gezielte Ausnutzen der Registrierungsfunktion für neue Geräte könnte es Angreifern gelingen, Whatsapp-Nutzer von dem Dienst auszusperren. Zusammen mit einem offenbar vollständig automatisierten Prozess im E-Mail-Support lässt sich die genutzte Telefonnummer dann zudem auch noch von dem Dienst abmelden. Das berichtet das Magazin Forbes unter Berufung auf die Sicherheitsforscher Luis Márquez Carpintero and Ernesto Canales Pereña. Demnach ist der Angriff auch bei eingerichteter Zwei-Faktor-Authentifizierung (2FA) möglich.

Grundlage des Angriffs ist wie erwähnt die Registrierungsfunktion von Whatsapp. Der Messenger lässt sich als App auf jedem von Angreifern kontrollierten Smartphone installieren und bei der Auswahl zur Telefonnummer lässt sich eine beliebige Telefonnummer zur Registrierung angeben. Beim Versuch der Registrierung sendet der Dienst dann einen sechsstelligen Code per SMS an die angegebene Telefonnummer.

Viele Phishing-Angriffe auf Whatsapp zielen darauf ab, diesen Authentifizierungs-Code abzugreifen und damit den Account zu übernehmen. In dem nun beschriebenen Angriff geht es hingegen darum, diesen Code immer wieder neu bei Whatsapp anzufordern, in dem schlicht falsche Codes auf dem Gerät der Angreifer eingegeben werden. Betroffene Nutzer erhalten dann zwar immer die SMS mit den Codes auf ihre eigenen Geräte als Anzeichen für einen möglichen Angriff, abgestellt werden kann dies aber offenbar selbst durch eine 2FA nicht. Auch das Anfordern eines neuen Codes ist nicht geschützt.

Nach mehreren gescheiteren Versuchen der Registrierung und dem Neuanfordern von Authentifizierungs-Codes sperrt Whatsapp die Funktion für zunächst zwölf Stunden. Whatsapp zeigt die verbleibende Dauer als Countdown an, die dann bis zu einem erneuten Versuch abgewartet werden muss. Dies kann insgesamt drei Mal in Folge geschehen, wobei der letzte Versuch nicht erneut mit einem Zwölf-Stunden-Countdown endet. Stattdessen fordert die App zum erneuten Versuch in „-1 Sekunde“ auf. Dabei handelt es sich offensichtlich um einen festgelegten Fehlerwert. Neue Registrierungsversuche sind danach nicht möglich.

In dem beschriebenen Angriff machen sich die Forscher nun ein zweites Problem von Whatsapp zunutze. Demnach ist es möglich, einen Whatsapp-Account mit einer vorher nicht authentifizierten E-Mail-Adresse einfach über den Whatsapp-Support zu deaktivieren. Dazu reicht lediglich das Versenden und erneute Bestätigen einer Telefonnummer, da der Prozess offenbar vollständig automatisiert abläuft.

Normalerweise wäre es nach der Deaktivierung per E-Mail möglich, die eigene Nummer und das eigene Geräte wieder neu zu registrieren. Das ist in dem beschriebenen Angriff jedoch nicht mehr der Fall. Angegriffene Nutzer sind zu diesem Zeitpunkt also von ihrem Account ausgesperrt.

Whatsapp beschreibt den Angriff laut Forbes als „unwahrscheinliches Problem“ und empfiehlt Nutzern, ihre echte E-Mail-Adresse bei dem Dienst zu hinterlegen. Eine Bestätigung, ob und wie das Unternehmen den beschriebenen Angriff in Zukunft unterbinden werde, liefert Whatsapp demnach aber nicht.

Autor des Artikels ist Sebastian Grüner.