Bug offenbart Online-Status beliebiger WhatsApp-Nutzer

Der Softwareentwickler Robert Heaton hat einen Fehler in WhatsApp Web entdeckt, der es ihm erlaubt, den Online-Status beliebiger Nutzer des Messagings-Diensts abzufragen. Er betont, dass er den Status auch von Nutzern ermitteln kann, die in den Einstellungen der WhatsApp-App festgelegt haben, dass niemand oder nur bestimmte Kontakte sehen können, wann sie zuletzt online waren. Das Einzige, was er benötigt, ist einem Blogeintrag zufolge die Mobiltelefonnummer, mit der sich ein Nutzer bei WhatsApp registriert hat.

Die Statusinformationen sammelt Heaton mithilfe einer von ihm entwickelten Erweiterung für Googles Browser Chrome. Sie überwacht jegliche Kommunikation zwischen seinem Browser und den WhatsApp-Servern – ihm zufolge mit nur vier Zeilen JavaScript. In einem Beispiel fragte Heaton auf diese Art alle zehn Sekunden den Online-Status eines von ihm eingerichteten Nutzers ab.

Die so auch über einen längeren Zeitraum gespeicherten Daten erlauben es, die Online-Aktivitäten eines Nutzers zu ermitteln und unter Umständen Rückschlüsse auf dessen Verhalten zu ziehen. Gerade bei Anwendern, die WhatsApp intensiv nutzten, seien die Offline-Zeiten beispielsweise mit den Schlafzeiten gleichzusetzen, unterstellt Heaton. In seinem Beispiel sollen die Daten offenbaren, wann der überwachte Nutzer schlafen geht und wann er wieder aufsteht beziehungsweise morgens das Haus verlässt.

Mit mehr Aufwand sei es aber auch möglich, mehrere Personen gleichzeitig zu überwachen und deren Online-Aktivitäten miteinander zu vergleichen. Übereinstimmungen der Aktivitäten ließen dann unter Umständen sogar Rückschlüsse darüber zu, wer mit wem kommuniziere. Dafür sei es allerdings notwendig, mehrere Telefonnummern bei WhatsApp zu registrieren. Darüber hinaus kann auf einem PC jeweils nur eine Instanz von WhatsApp Web ausgeführt werden – es würden also auch mehrere PCs zur Überwachung mehrerer Personen benötigt.

Seine Browsererweiterung stellt Heaton jedoch nicht öffentlich zur Verfügung. Ob der Bug bereits aktiv ausgenutzt wird, ist nicht bekannt. Heaton spekuliert aber über eine mögliche Geschäftsidee. „Sie gründen eine Firma, die einen Dienst anbietet, der anhand einer Telefonnummer die WhatsApp-Nutzung für diese Nummer ermittelt. Sie verkaufen diese Informationen an Krankenversicherungen oder Kreditauskunfteien, die es beide verdächtig finden, wenn Leute morgens um vier Uhr wach sind“, schreibt er in seinem Blog.

The Next Web weist darauf hin, dass das Problem an sich nicht neu ist. Einem anderen Sicherheitsforscher sei es bereits 2016 gelungen, den Online-Status seiner Facebook-Freunde aufzuzeichnen und auszuwerten, um Nutzungsprofile zu erstellen.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.