Bug offenbart Online-Status beliebiger WhatsApp-Nutzer

Der Fehler steckt in WhatsApp Web. Eine Browsererweiterung fragt anhand einer Mobilfunknummer den Status eines Nutzers alle zehn Sekunden ab. Aus den Daten lässt sich ein Profil mit Online- und Offline-Zeiten erstellen. Der Bug betrifft auch Nutzer, die ihren Online-Status nicht öffentlich teilen.

Der Softwareentwickler Robert Heaton hat einen Fehler in WhatsApp Web entdeckt, der es ihm erlaubt, den Online-Status beliebiger Nutzer des Messagings-Diensts abzufragen. Er betont, dass er den Status auch von Nutzern ermitteln kann, die in den Einstellungen der WhatsApp-App festgelegt haben, dass niemand oder nur bestimmte Kontakte sehen können, wann sie zuletzt online waren. Das Einzige, was er benötigt, ist einem Blogeintrag zufolge die Mobiltelefonnummer, mit der sich ein Nutzer bei WhatsApp registriert hat.

WhatsApp (Bild: WhatsApp)Die Statusinformationen sammelt Heaton mithilfe einer von ihm entwickelten Erweiterung für Googles Browser Chrome. Sie überwacht jegliche Kommunikation zwischen seinem Browser und den WhatsApp-Servern – ihm zufolge mit nur vier Zeilen JavaScript. In einem Beispiel fragte Heaton auf diese Art alle zehn Sekunden den Online-Status eines von ihm eingerichteten Nutzers ab.

Die so auch über einen längeren Zeitraum gespeicherten Daten erlauben es, die Online-Aktivitäten eines Nutzers zu ermitteln und unter Umständen Rückschlüsse auf dessen Verhalten zu ziehen. Gerade bei Anwendern, die WhatsApp intensiv nutzten, seien die Offline-Zeiten beispielsweise mit den Schlafzeiten gleichzusetzen, unterstellt Heaton. In seinem Beispiel sollen die Daten offenbaren, wann der überwachte Nutzer schlafen geht und wann er wieder aufsteht beziehungsweise morgens das Haus verlässt.

Mit mehr Aufwand sei es aber auch möglich, mehrere Personen gleichzeitig zu überwachen und deren Online-Aktivitäten miteinander zu vergleichen. Übereinstimmungen der Aktivitäten ließen dann unter Umständen sogar Rückschlüsse darüber zu, wer mit wem kommuniziere. Dafür sei es allerdings notwendig, mehrere Telefonnummern bei WhatsApp zu registrieren. Darüber hinaus kann auf einem PC jeweils nur eine Instanz von WhatsApp Web ausgeführt werden – es würden also auch mehrere PCs zur Überwachung mehrerer Personen benötigt.

Seine Browsererweiterung stellt Heaton jedoch nicht öffentlich zur Verfügung. Ob der Bug bereits aktiv ausgenutzt wird, ist nicht bekannt. Heaton spekuliert aber über eine mögliche Geschäftsidee. „Sie gründen eine Firma, die einen Dienst anbietet, der anhand einer Telefonnummer die WhatsApp-Nutzung für diese Nummer ermittelt. Sie verkaufen diese Informationen an Krankenversicherungen oder Kreditauskunfteien, die es beide verdächtig finden, wenn Leute morgens um vier Uhr wach sind“, schreibt er in seinem Blog.

The Next Web weist darauf hin, dass das Problem an sich nicht neu ist. Einem anderen Sicherheitsforscher sei es bereits 2016 gelungen, den Online-Status seiner Facebook-Freunde aufzuzeichnen und auszuwerten, um Nutzungsprofile zu erstellen.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Datenschutz, Privacy, WhatsApp, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Bug offenbart Online-Status beliebiger WhatsApp-Nutzer

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *