Categories: MobileMobile Apps

Bug offenbart Online-Status beliebiger WhatsApp-Nutzer

Der Softwareentwickler Robert Heaton hat einen Fehler in WhatsApp Web entdeckt, der es ihm erlaubt, den Online-Status beliebiger Nutzer des Messagings-Diensts abzufragen. Er betont, dass er den Status auch von Nutzern ermitteln kann, die in den Einstellungen der WhatsApp-App festgelegt haben, dass niemand oder nur bestimmte Kontakte sehen können, wann sie zuletzt online waren. Das Einzige, was er benötigt, ist einem Blogeintrag zufolge die Mobiltelefonnummer, mit der sich ein Nutzer bei WhatsApp registriert hat.

Die Statusinformationen sammelt Heaton mithilfe einer von ihm entwickelten Erweiterung für Googles Browser Chrome. Sie überwacht jegliche Kommunikation zwischen seinem Browser und den WhatsApp-Servern – ihm zufolge mit nur vier Zeilen JavaScript. In einem Beispiel fragte Heaton auf diese Art alle zehn Sekunden den Online-Status eines von ihm eingerichteten Nutzers ab.

Die so auch über einen längeren Zeitraum gespeicherten Daten erlauben es, die Online-Aktivitäten eines Nutzers zu ermitteln und unter Umständen Rückschlüsse auf dessen Verhalten zu ziehen. Gerade bei Anwendern, die WhatsApp intensiv nutzten, seien die Offline-Zeiten beispielsweise mit den Schlafzeiten gleichzusetzen, unterstellt Heaton. In seinem Beispiel sollen die Daten offenbaren, wann der überwachte Nutzer schlafen geht und wann er wieder aufsteht beziehungsweise morgens das Haus verlässt.

Mit mehr Aufwand sei es aber auch möglich, mehrere Personen gleichzeitig zu überwachen und deren Online-Aktivitäten miteinander zu vergleichen. Übereinstimmungen der Aktivitäten ließen dann unter Umständen sogar Rückschlüsse darüber zu, wer mit wem kommuniziere. Dafür sei es allerdings notwendig, mehrere Telefonnummern bei WhatsApp zu registrieren. Darüber hinaus kann auf einem PC jeweils nur eine Instanz von WhatsApp Web ausgeführt werden – es würden also auch mehrere PCs zur Überwachung mehrerer Personen benötigt.

Seine Browsererweiterung stellt Heaton jedoch nicht öffentlich zur Verfügung. Ob der Bug bereits aktiv ausgenutzt wird, ist nicht bekannt. Heaton spekuliert aber über eine mögliche Geschäftsidee. „Sie gründen eine Firma, die einen Dienst anbietet, der anhand einer Telefonnummer die WhatsApp-Nutzung für diese Nummer ermittelt. Sie verkaufen diese Informationen an Krankenversicherungen oder Kreditauskunfteien, die es beide verdächtig finden, wenn Leute morgens um vier Uhr wach sind“, schreibt er in seinem Blog.

The Next Web weist darauf hin, dass das Problem an sich nicht neu ist. Einem anderen Sicherheitsforscher sei es bereits 2016 gelungen, den Online-Status seiner Facebook-Freunde aufzuzeichnen und auszuwerten, um Nutzungsprofile zu erstellen.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

18 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

20 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

20 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

24 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

24 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

1 Tag ago