Eine technische Lücke bei Whatsapp ermöglichte es einem kleinen Team aus Wien, eine globale Bestandsaufnahme aktiver Konten zu erstellen. Dafür mussten die Forschenden der Technischen Universität Wien nicht einmal gegen Gesetze verstoßen – Zugriff auf Nachrichten ermöglichte die Sicherheitslücke aber nicht.
Die Lücke betraf den unscheinbaren "Contact Discovery"-Mechanismus. Eigentlich dazu gedacht, Whatsapp-Nutzer im Adressbuch sichtbar zu machen, erlaubt er unter normalen Umständen eine kleine Zahl von Anfragen an den Server. Doch genau diese Begrenzung fehlte, wie das Fachportal ingenieur.de berichtet.
Das Team rund um Gabriel Gegenhuber stellte mit einem automatisierten System hundert Millionen Anfragen pro Stunde und konnte so schlussendlich 3,5 Milliarden verifizierte WhatsApp-Konten aus 245 Ländern verifizieren. Es handelt sich um eines der größten Datenlecks der Geschichte.
Zwar blieb der Chatinhalt verschlüsselt, viele Metadaten waren für die Forschenden aber sichtbar: So etwa Telefonnummern, öffentliche Schlüssel, Zeitstempel, aber auch das Betriebssystem, die Anzahl der über Whatsapp Web verknüpften Geräte und das Alter des Whatsapp-Profils.
Damit konnten die Forschenden auch in restriktiven Ländern wie China und Iran das Verhalten von Millionen von Whatsapp-Usern analysieren. Die Daten zeigten auch, dass fast 50 Prozent der Nummern aus dem Facebook-Leak 2021 weiterhin aktiv sind. "Metadaten werden oft unterschätzt", sagt Studien-Coautor Aljosha Judmayer. "Doch wer viele davon sammelt, kann Rückschlüsse ziehen – bis hin zu individuellen Profilen."
Meta schloss die Lücke, führte Limits ein und änderte die Sichtbarkeit von Profilinfos. Der leitende Ingenieur Nitin Gupta lobt die Wiener Forschenden für ihre Kooperation im Bug-Bounty-Programm. Alle Daten wurden gelöscht, Hinweise auf Missbrauch gab es nicht.
