Update 24.7.: Whatsapp hat anscheinend auf die gravierende Sicherheitslücke reagiert, die der Sicherheitsforscher Jake Moore letzte Woche bekannt gemacht hat (siehe unten die ursprüngliche Meldung). Denn ab sofort verlangt Whatsapp einen Nachweis dafür, dass man der Inhaber der Telefonnummer ist, für die man die Deaktivierung des damit verbundenen Whatsapp-Kontos verlangt.
Zumindest twitterte ein Nutzer eine entsprechende Mail des Supports von Whatsapp. Darin verlangt der Whatsapp-Support einen Nachweis dafür, dass man der Inhaber der Telefonnummer ist, wenn man den damit verbundenen Whatsapp-Account deaktivieren lassen will. So ein Nachweis kann laut der Mail eine Kopie der Telefonrechnung oder des Telefonvertrags sein.
Update Ende, Beginn der ursprünglichen Meldung
Der britische Sicherheitsexperte Jake Moore hat eine unfassbare leichte Methode entdeckt, wie man fremde Whatsapp-Konten zunächst deaktivieren und nach 30 Tagen löschen kann. Man muss dafür nur die Telefonnummer der Zielperson und dessen Provider wissen.
Moore schildert seine Entdeckung in diesem Tweet:
Eigentlich eine Sicherheits-Maßnahme
Diese Methode hat Whatsapp eigentlich als Sicherheitsmaßnahme für den Fall vorgesehen, dass man sein Smartphone verliert oder es gestohlen wurde und man dann den unautorisierten Zugriff auf das auf dem verlorenen Smartphone vorhandene Whatsapp-Konto verhindern möchte. Doch diese Sicherheitsmaßnahme lässt sich Moore zufolge auch missbrauchen. Der Angriff funktioniert folgendermaßen:
Man lässt die SIM-Karte eines Smartphones beim Provider sperren. Damit ist es unmöglich, den Whatsappaccount auf dem Smartphone zu bestätigen, weil man damit ja keine Anrufe oder SMS mehr empfangen kann, wie Whatsapp hier erklärt. Danach muss man noch schnellstmöglich das Whatsapp-Konto sperren, damit die Person, die das verlorene/gestohlene Smartphone besitzt, keinen Zugriff auf die Whatsapp-Chats bekommt. Hierfür gibt es zwei Möglichkeiten, von denen die Letztere sich missbrauchen lässt.
Erste, sichere Möglichkeit: Man aktiviert eine neue SIM-Karte mit der identischen Handynummer der gesperrten SIM-Karte. Diese neue SIM legt man in das neue Handy ein und schaltet dort dann das Whatsapp-Konto wieder frei. Damit ist automatisch das Whatsapp-Konto auf dem verlorenen/gestohlenen Smartphone deaktiviert, weil man ein Whatsapp-Konto nur auf einem Geräte aktivieren kann.
Zweite Möglichkeit, die sich missbrauchen lässt: Man schickt eine E-Mail mit dem Text „Verloren/Gestohlen: Bitte deaktiviert meinen Account“ und Ihrer Telefonnummer im vollständigen internationalen Format (also mit +49 vorangestellt) als E-Mail-Inhalt an support@whatsapp.com.
Letzteres machte Moore. Und bekam prompt eine Antwortmail von Whatsapp, in der Whatsapp bestätigte, dass man das Whatsapp-Konto deaktiviert habe. Das Konto hat Whatsapp aber nicht völlig gelöscht, sondern nur vorübergehend gesperrt. Die Inhalte des Whatsapp-Kontos sind also nicht verloren. Nur hat der Konto-Inhaber eben keinen Zugriff mehr darauf. Allerdings muss man sich für das Konto neu anmelden, andernfalls löscht Whatsapp nach 30 Tagen tatsächlich alle Nachrichten. Whatsapp beschreibt die Folge dieser Maßnahme folgendermaßen:
- Der Account ist nicht komplett gelöscht.
- Deine Kontakte können weiterhin dein Profil sehen.
- Deine Kontakte können dir weiterhin Nachrichten senden. Diese bleiben bis zu 30 Tage zwischengespeichert.
- Wenn du deinen Account wieder aktivierst, bevor er gelöscht wird, erhältst du alle zwischengespeicherten Nachrichten auf dein neues Telefon und du wirst weiterhin in allen deinen Gruppenchats bleiben.
- Wenn du deinen Account nicht innerhalb von 30 Tagen nach der Deaktivierung wieder aktivierst, wird er komplett gelöscht.
Auf dem verlorenen/gestohlenen Smartphone erscheint ein entsprechender Hinweis, dass dessen Handynummer nicht mehr mit Whatsapp auf diesem Telefon verbunden ist.
Vor wenigen Stunden ergänzte Moore seinen Tweet:
Moore spekuliert, dass nach Bekanntwerden dieses fiesen Workarounds zum Sperren von Whatsapp-Konten der Messengerdienst diese Möglichkeit entschärft habe.
Wichtig: Falls tatsächlich ein Fremder mit der oben beschriebenen Methode Ihr Whatsapp-Konto sperren lässt, können Sie das rückgängig machen, solange Sie Zugriff auf Ihr Smartphone haben. Indem Sie Ihren sechsstelligen Aktivierungscode anfordern. Doch wer etwa Whatsapp einige Zeit nicht nutzt oder die Deaktivierung ignoriert oder einfach nicht weiß, was man tun soll, der kann so wirklich sein Whatsapp-Konto verlieren.
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.