Tal Be’ery ist der Mitbegründer und Technikchef des Krypto-Wallet-Herstellers Zengo. Nach seinen Erkenntnissen ist es möglich, festzustellen, über welche Apps und Geräte ein:e WhatsApp-Nutzer:in auf den Dienst zugreift. Das hat Be’ery gegenüber den Kolleg:innen von Techcrunch beweisen können.

Auf den ersten Blick scheint die Information darüber, wo jemand Whatsapp nutzt, nicht unbedingt gefährlich zu sein. Das sehen verschiedene Expertinnen für digitale Sicherheit anders. Sie glauben, dass der Umstand in einigen Fällen Hackern helfen könnte, Angriffe auf Whatsapp-Nutzer:innen vorzubereiten.

„Das könnte durchaus nützlich sein, um Informationen zu sammeln und einen Angriff zu planen“, erläutert Sicherheitsexpertin Runa Sandvik gegenüber Techcrunch. So würde etwa die Information, dass jemand Whatsapp auf einem Desktop verwendet, bedeuten, dass ein Angriff vielversprechend sein könnte. Denn Desktop-Geräte seien leichter zu kompromittieren als ein Mobiltelefon.

Laut Sandvik erfahren potenzielle Angreifer auf diese Weise mehr über die Geräte, die Nutzer:innen verwenden. Dadurch könne darauf geschlossen werden, wie „zugänglich“ die jeweiligen Whatsapp-Einstellungen sind, meint Sandivk.

Mit den Erkenntnissen konfrontiert, erklärt Metas Sprecher Zade Alsawah, dass das aktuelle Design der App „das ist, was die Nutzer wollen und erwarten“.

„Früher war es so, dass das Telefon online sein musste, um Nachrichten zu empfangen, und das bedeutete erhebliche Einschränkungen für die Nutzer. Mit Multi-Device können Nutzer ihre persönlichen Nachrichten geräteübergreifend und privat mit Ende-zu-Ende-Verschlüsselung senden und empfangen – und das ist die Richtung, die wir weiterhin einschlagen werden“, so Alsawah in einer Erklärung.

Andere Experten sehen darin klar eine Frage des Datenschutzes. Sie fordern eine Opt-out-Funktion für Geräteindikatoren. Nicht nur Hacker könnten ansonsten die Informationen missbrauchen.

Auch für Stalker könnten die Daten demnach interessant sein. Sie könnten darauf schließen, ob eine Person zu Hause ist oder nicht – je nachdem, welches Gerät gerade genutzt wird.

In seinem Blogbeitrag zur Erläuterung der Schwachstelle schreibt Be’ery, dass es sich um eine konzeptionelle Schwäche des Dienstes handele. Wenn jemand eine Nachricht an einen anderen Whatsapp-Nutzer sende, erstelle sein Gerät für jedes Gerät, das der Empfänger verwendet, einen anderen Sitzungsschlüssel, der dem Absender mitteilt, wie viele Geräte der Empfänger verwendet.

Jeder könne diese Art von Informationen herausfinden, indem er Whatsapp im Internet nutzt und den Datenverkehr mit dem Entwickler-Tool eines Browsers untersucht. Dazu müsse ein potenzieller Angreifer die Zielperson lediglich zu seiner Kontaktliste hinzufügen. Wie Be’ery gegenüber Techcrunch demonstrieren konnte, funktioniert das sogar, wenn der Empfänger den potenziellen Angreifer blockiert hat.

So gebe es derzeit keine Möglichkeit, zu verhindern, dass andere Personen diese Art von Informationen sehen. Meta interessiert sich vorerst nicht dafür.