Sicherheitslücke in Whatsapp: So wird eine Funktion ausgehebelt, die eure Bilder schützen soll
Wer Whatsapp häufig nutzt und damit Bilder verschickt, wird die „Einmal ansehen“-Funktion sicherlich schon entdeckt haben. Immer, wenn ihr ein Bild verschickt, könnt ihr das Feature aktivieren. Dann können Empfänger:innen das Bild nur ein einziges Mal öffnen und anschauen. Anschließend verschwindet es wieder auf dem Whatsapp-Chatverlauf.
So wird das Whatsapp-Feature umgangen
Das Team der Sicherheitsforscher:innen bei Zengo hat jetzt herausgefunden, dass sich diese Whatsapp-Funktion aushebeln lässt. So wird ein Bild mit „Einmal ansehen“ nicht nur an ein Gerät der Empfänger:innen geschickt. Sie erhalten die Nachricht auf allen Endgeräten und verknüpften Geräten. Dementsprechend ist es auch möglich, dass sie diese in Whatsapp Web erhalten.
Einige Browser-Erweiterungen sind in der Lage, die Bilder dann direkt herunterzuladen, bevor sie verschwinden. Andere Erweiterungen können die „Einmal ansehen“-Funktion einfach aushebeln, indem sie die Kennzeichnung bei dem Bild auf „false“ stellen. Dadurch kann das Whatsapp-Bild mehrfach angeschaut, heruntergeladen und sogar geteilt werden.
Aber auch ohne solche Erweiterungen lässt sich das Whatsapp-Feature laut den Sicherheitsexpert:innen oftmals einfach umgehen. Denn einige Versionen der „Einmal ansehen“-Nachrichten enthalten Vorschaubilder mit etwas niedrigerer Auflösung. Das kann in manchen Fällen schon ausreichen, um Inhalte darauf zu sehen. Das Vorschaubild kann problemlos heruntergeladen werden. Und auch auf den Servern von Whatsapp verbleibt das Bild länger als manche Nutzer:innen womöglich vermuten. Die „Einmal anschauen“-Bilder verbleiben noch zwei Wochen nach dem Löschen aus dem Chat auf den Servern.
Lösungsansätze für das Whatsapp-Problem
Zengo hat auch schon zwei Lösungen für die genannten Probleme vorgeschlagen. Zunächst sollte sichergestellt werden, dass „Einmal ansehen“-Bilder nur an das Whatsapp-Hauptgerät der Empfänger:innen geschickt werden. Um das zu erreichen, könnte Whatsapp die DRM-Lösungen nutzen, die schon auf Android- und iOS-Geräten vorhanden sind. Dadurch lässt sich die Hardware dem Account zuordnen.
Allerdings geben die Expert:innen auch an, dass Whatsapp den Nutzer:innen klarmachen muss, welche Sicherheit ihnen wirklich geboten wird. So müssten Nutzer:innen eigentlich davon in Kenntnis gesetzt werden, dass die Bilder noch deutlich länger auf dem Server von Whatsapp verbleiben.