Das gesamte Mitgliederverzeichnis von WhatsApp stand online ungeschützt zum Abruf bereit. Österreichische Forscher konnten sich deshalb alle Telefonnummern und weitere Profildaten – darunter öffentliche Schlüssel – herunterladen, ohne auf ein Hindernis zu stoßen. Sie fanden mehr als 3,5 Milliarden Konten. Gemessen an der Zahl Betroffener ist es der wohl größte Datenabfluss aller Zeiten. Ein Teil der Forschungsgruppe hat sich bereits mehrfach mit WhatsApp befasst und beispielsweise eruiert, was WhatsApp trotz Verschlüsselung verrät, und herausgefunden, wie ein Angreifer die Whatsapp-Verschlüsselung herabstufen kann. Dennoch stellte sich Whatsapp-Betreiber Meta Platforms hinsichtlich der neuen Forschungsergebnisse ein Jahr lang taub.

Wiederholte Warnhinweise, die die Gruppe der Universität Wien und der österreichischen SBA Research ab September 2024 bei Whatsapp eingereicht haben, wurden zwar mit Empfangsbestätigungen bedacht, bald aber zu den Akten gelegt. Erst als die Forscher zweimal einen Entwurf ihres Papers einreichten und dessen unkoordinierte Veröffentlichung bevorstand, wachte Meta auf: Aus den Daten lässt sich nämlich erstaunlich viel ablesen, und für manche User kann das lebensbedrohlich sein.

Da sind einmal Informationen, die für Meta Platforms selbst sensibel sind, aus wettbewerblichen und regulatorischen Gründen: Wie viele Whatsapp-User gibt es in welchem Land, wie verteilen sie sich auf Android und iOS, wie viele sind Geschäftskonten, wie groß ist der Churn (Kundenabwanderung), und wo gibt es offensichtliche Betrugszentren großen Maßstabs. Und dann sind da mehrere Klassen von Daten, die für Anwender ungemütlich bis lebensgefährlich sein können – obwohl die Forscher keine Datenpakete an oder von Endgeräten übertragen haben (sondern nur zu Whatsapp-Servern) und auch keine Inhalte oder Metadaten von Whatsapp-Kommunikation abgefangen haben.

WhatsApp-Verbot unwirksam

So war WhatsApp Stand Dezember 2024 in der Volksrepublik China, im Iran, in Myanmar sowie in Nordkorea verboten. Dennoch fanden die Forscher damals 2,3 Millionen aktive WhatsApp-Konten in China, 60 Millionen im Iran, 1,6 Millionen in Myanmar und fünf (5) in Nordkorea. Diese Handvoll könnte vom Staatsapparat selbst eingerichtet worden sein, aber für Einwohner Chinas und Myanmars ist es höchst riskant, wenn Behörden von der illegalen WhatsApp-Nutzung Wind bekommen. Und das passiert leicht, wenn sich der gesamte Nummernraum flott abfragen lässt.

Die 60 Millionen WhatsApp-Konten mit iranischer Telefonnummer entsprachen statistisch immerhin zwei Drittel der Einwohner. Das Verbot wirkte dort also offensichtlich nicht und wurde am Heiligen Abend 2024 auch aufgehoben. Drei Monate später gab es dann schon 67 Millionen iranische Konten. Deutlich stärker hat die Zahl jener zugenommen, die dasselbe WhatsApp-Konto auf mehr als einem Gerät nutzen. Während der Verbotsphase war das offenbar zu riskant, aber wenn WhatsApp nicht illegal ist, will man es vielleicht auch am Arbeitsrechner verwenden.

Profilbilder und Info-Feld

Annähernd 30 Prozent der User haben etwas in das „Info“-Feld ihres Profils eingetragen, und dabei geben manche viel preis: politische Einstellungen, sexuelle oder religiöse Orientierung, Bekenntnisse zu Drogenmissbrauch gibt es dort genauso wie Drogendealer, die genau in diesem Feld ihr Warensortiment anpreisen. Auch darüber hinaus fanden die Wiener Forscher Angaben zum Arbeitsplatz des Users bis zu Hyperlinks auf Profile in sozialen Netzwerken, bei Tinder oder OnlyFans. E-Mail-Adressen durften natürlich nicht fehlen, darunter von Domains wie bund.de, state.gov und diverse aus der .mil-Zone. Das ist ein gefundenes Fressen für Doxxer und andere Angreifer, aber auch Spammer und einfache Betrüger.

Zudem verriet WhatsApp den Zeitpunkt der jüngsten Änderung – nicht nur des Info-Feldes, sondern auch der Profilfotos, die immerhin 57 Prozent aller WhatsApp-User weltweit hochgeladen und als für jedermann einsehbar definiert haben, darunter US-Regierungsmitglieder. Für den Nordamerika-Vorwahlbereich +1 haben die Forscher alle 77 Millionen für jedermann einsehbaren Profilbilder heruntergeladen – stolze 3,8 Terabyte in Summe. In einer daraus gezogenen zufälligen Stichprobe von einer halben Million Bildern fand eine Gesichtserkennungsroutine in zwei Dritteln der Fälle ein menschliches Gesicht. Die leichte Zugänglichkeit der Fotos hätte also erlaubt, eine Datenbank zusammenzustellen, die durch Gesichtserkennung in vielen Fällen zur Telefonnummer führt und umgekehrt. Selbst Profilbilder ohne Gesicht können geschwätzig sein: bisweilen sind Autokennzeichen, Straßenschilder oder Wahrzeichen abgebildet.

Weitere Informationen liefert die Anzeige, wie viele Geräte unter einem WhatsApp-Konto registriert sind (bis zu fünf). Aus den fortlaufend vergebenen IDs lässt sich schließen, ob diese zusätzlich genutzten Geräte häufig geändert werden oder stabil bleiben.

Bereits im vergangenen Jahr war der VR-Haptik-Hersteller HaptX von seinem langjährigen Fertigungspartner 1HMX übernommen worden. Mit „Nexus NX1“ wollen beide Unternehmen nun aus der Nische der Spezialhandschuhe heraus und ein Komplettsystem für immersive Maschinensteuerung anbieten. Das modular aufgebaute Setup liefert haptisches Feedback, erfasst Bewegungen, ermöglicht flüssige Fortbewegung und richtet sich vor allem an Industrie, Forschung und Ausbildung.

Die Plattform ist eine Kombination aus drei bereits bekannten Technologien: Die haptischen Datenhandschuhe „HaptX Gloves G1“ sollen taktile Rückmeldungen liefern, während die motorisierten Schuhe „Freeaim“ in Verbindung mit dem 360-Grad-VR-Laufband „Omni One“ eine natürliche Fortbewegung im Raum ohne Motion Sickness ermöglichen sollen. Ergänzt wird das Ganze durch ein Tracking-System, das Kopf, Rumpf, Arme, Hände und Füße abdeckt.

Komplettpaket aus Handschuhen, Laufband und VR-Schuhen

Das „Omni One“ von Virtuix erfasst Laufbewegung mittels Sensoren und überträgt sie in die VR-Anwendung. Nutzer sind über mehrere Gurte an einen beweglichen Arm gebunden, der dafür sorgt, dass sie den runden Sockel mit dem omnidirektionalen Laufband nicht verlassen können. Um darauf vernünftig laufen zu können, sind spezielle Schuhe nötig. Die liefert das britische Start-up Freeaim. Die gleichnamigen VR-Schuhe laufen im Akkubetrieb und sind für Schuhgrößen zwischen 36 und 47 geeignet. An den Sohlen angebrachte Radmodule rotieren automatisch, wodurch das Gehen auf der Stelle theoretisch auch ohne VR-Laufband möglich wäre. In Kombination mit der Omni-One-Plattform dürfte das allerdings deutlich reibungsloser funktionieren. Zudem bleiben Nutzer sicher innerhalb einer beschränkten VR-Umgebung.

HaptX arbeitet schon seit mehr als zehn Jahren an Datenhandschuhen. Die aktuelle Version „Gloves G1“ wiegt rund 570 Gramm pro Stück und benötigt eine Luftdruckeinheit, die in einem Rucksack oder neben der Plattform platziert werden kann. In jedem Handschuh sind 135 Mikrokammern integriert, in die Flüssigkeit in hoher Geschwindigkeit gespritzt wird. Dadurch wird die Haut an den entsprechenden Stellen etwa anderthalb Millimeter nach innen gedrückt, wodurch das Gefühl von Berührung entstehen soll. Zudem simuliert vibrotaktiles Feedback die Oberflächenbeschaffenheit und künstliche Sehnen mit bis zu 3,6 Kilogramm Widerstand pro Finger die Form und Größe virtueller Objekte.

Neben der Bewegungsübertragung soll Nexus NX1 auch Kommunikation in beide Richtungen ermöglichen. Während der Führung eines Roboterarms soll etwa gespürt werden können, was dieser greift oder berührt. Laut Hersteller ist das System besonders für Aufgaben geeignet, bei denen Feinmotorik und Bewegungskoordination gefragt sind: vom Beladen von Maschinen über Montagearbeiten bis hin zur Fernwartung komplexer Anlagen.

Neben Bewegungsverläufen lassen sich unter anderem Druckverteilung auf den Handflächen, Fußkontakt zum Boden oder die Lage des Körperschwerpunkts erfassen. Diese Informationen sollen neben der Fernsteuerung auch KI-Training und umfassende Leistungsanalysen ermöglichen. Die Auslieferung von Nexus NX1 soll im zweiten Quartal 2026 beginnen. Vorbestellungen sind bereits möglich.

(joe)

KI-basierte Werkzeuge können helfen, Schwachstellen schneller zu erkennen und gezielt zu analysieren. Dadurch können Sicherheitsprozesse effizienter gestaltet und die Zeitvorteile gegenüber potenziellen Angreifern maximiert werden. Doch wann ist der Einsatz von KI-Werkzeugen sinnvoll und wann sollten herkömmliche Methoden bevorzugt werden?

Der iX-Workshop IT-Security: Künstliche Intelligenz für effiziente IT-Sicherheitsstrategien stellt verschiedene KI-Methoden und -Werkzeuge vor und zeigt, wann und wie sie sinnvoll eingesetzt werden können.

In unserem iX-Workshop erhalten Sie einen umfassenden Überblick über technische Sicherheitsaudits und Abwehrmaßnahmen sowie verschiedene KI-Tools. Sie haben die Möglichkeit, diese in praktischen Übungen auszuprobieren und deren Vor- und Nachteile kennenzulernen. Dabei wird zwischen sinnvollen und weniger sinnvollen Einsatzmöglichkeiten unterschieden. Etwa 25 Prozent des Workshops sind der praktischen Anwendung des Gelernten gewidmet.

KI-Werkzeuge kennenlernen und anwenden

Der Workshop stellt konkrete Anwendungsszenarien für die vorgestellten Werkzeuge und Methoden vor. Sie lernen, wie Sicherheitsprozesse mithilfe von Künstlicher Intelligenz effizienter gestaltet werden können. Sie erfahren, wie Sie Schwachstellenscans und Penetrationstests schneller und besser auswerten können und wie Blue Teams von der automatisierten Bedrohungserkennung und der frühzeitigen Reaktion auf Angriffe profitieren.

Zielgruppe des Workshops sind sicherheitsaffine IT-Mitarbeiter, von Sicherheitsmanagern über Administratoren und SOC-Mitarbeiter bis hin zu sicherheitsinteressierten Softwareentwicklern.

Ihr Trainer Yves Kraft leitet als Head of Security Academy das Aus- und Weiterbildungsangebot der Oneconsult AG. Als ehemaliger Penetration Tester und Security Consultant verfügt er über langjährige Erfahrung als ethischer Angreifer im Bereich Schwachstellenanalyse und Angriffssimulation.

(ilk)