Exploit: WhatsApp ließ den Abruf von 3,5 Mrd. Telefonnummern zu

Forschende der Universität Wien haben eine Sicherheitslücke im Messenger WhatsApp publik gemacht, die es erlaubte, alle 3,5 Milliarden gespeicherten Telefonnummern abzurufen. Schutzmechanismen sollen das eigentlich verhindern. Meta hat sich für den Hinweis bedankt und betont, dass private Nachrichten nicht betroffen waren.

Immer wieder dasselbe Problem

Die Basis für die jetzt im Rahmen des Bug-Bounty-Programms an Meta gemeldete Sicherheitslücke ist eine alte Bekannte: Um es Nutzern so einfach wie möglich zu machen, andere Nutzer beziehungsweise Kontakte, die ebenfalls WhatsApp nutzen, zu finden, bietet die Plattform APIs an, um registrierte Telefonnummern abzugleichen und korrespondierende Informationen wie das Profilbild oder auch den About-Text (falls vom Nutzer freigegeben) einzusehen („WhatsApp Contact Discovery“). Diese Schnittstellen dazu auszunutzen, um im großen Stil registrierte Nummern und Profilbilder abzurufen, soll eigentlich unterbunden werden.

WhatsApp’s contact discovery mechanism can use a user’s address book to find other WhatsApp users by their phone number. Using the same underlying mechanism, the researchers demonstrated that it was possible to query more than 100 million phone numbers per hour through WhatsApp’s infrastructure, confirming more than 3.5 billion active accounts across 245 countries.

Data Mining erlaubt weitere Auswertungen

Den Forschenden der Universität Wien ist das jetzt trotzdem gelungen und sie haben auf Basis der abgerufenen Informationen zu 3,5 Milliarden registrierten Nutzern auch gleich noch ein paar Auswertungen gefahren, denn aus den Informationen ließen sich auch weitere Erkenntnisse wie das verwendete Betriebssystem, das Account-Alter oder die Anzahl der mit dem Account verbundenen Geräte ableiten. Die ergaben, dass

• es Millionen aktive Konten in Ländern gibt, in denen WhatsApp eigentlich verboten ist (darunter China, Iran, Myanmar),
• 19 Prozent iOS und 81 Prozent Android nutzen,
• es landesspezifische Unterschiede gibt, wie viele und welche Informationen Nutzer über das Profilbild teilen,
• rund die Hälfte der im Jahr 2021 geleakten 500 Millionen Telefonnummern weiterhin im Einsatz sind.

Meta bedankt sich

Meta hat sich für den Hinweis auf die Sicherheitslücke bedankt, der die Arbeiten am „industrieweit führenden Anti-Scraping-System“ entscheidend voranbringt. Meta sei nicht bekannt, dass die Lücke bereits außerhalb der Forschungsarbeit Verwendung fand, die Universität Wien hätte die Daten inzwischen gelöscht.

We are grateful to the University of Vienna researchers for their responsible partnership and diligence under our Bug Bounty program. This collaboration successfully identified a novel enumeration technique that surpassed our intended limits, allowing the researchers to scrape basic publicly available information. We had already been working on industry-leading anti-scraping systems, and this study was instrumental in stress-testing and confirming the immediate efficacy of these new defenses. Importantly, the researchers have securely deleted the data collected as part of the study, and we have found no evidence of malicious actors abusing this vector. As a reminder, user messages remained private and secure thanks to WhatsApp’s default end-to-end encryption, and no non-public data was accessible to the researchers.

Das Statement von Meta