Ein Anruf reichte für den Angriff aus: Sobald die Telefonie-Funktion von Whatsapp einmal klingelte, bekam der Angreifer die komplette Kontrolle über das Smartphone, konnte Programme nachladen und Daten auslesen. Und das, ohne dass das Opfer auch nur den Anruf annehmen musste. Was klingt wie aus einem Spionagefilm, war im letzten Jahr traurige Realität, hinter den Angriffen wird eine israelische Sicherheitsfirma vermutet. Ein Bericht zeigt nun: Die fiese Lücke in Whatsapp war nur ein Sicherheitsproblem von vielen.
Sechsmal so oft wie in den Vorjahren soll Whatsapp Sicherheitsprobleme an die National Vulnerabilities Database (NVD), eine US-amerikanische Datenbank für Sicherheitslücken, gemeldet haben, berichtet die "Financial Times". Während es in den letzten Jahren jeweils nur ein oder zwei Meldungen vonseiten des Messengers an die mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) vergleichbare Behörde gab, stieg die Zahl 2019 auf zwölf an. Und: Sieben der Lücken wurden von Whatsapp als "kritisch" bewertet. Die Lücken in den Vorjahren galten nur als mittelschwer.
Whatsapp hat ein Problem
Die Meldung kommt für Whatsapp im denkbar schlechtesten Moment. Mit Amazon-Chef Jeff Bezos soll ausgerechnet der reichste Mann der Welt über den Messenger gehackt und dann erpresst worden sein. Der Fall dürfte auch viele andere Nutzer des Dienstes verunsichert haben. Bei einem Versuch der Rettung blamierte sich Nick Clegg, Vizepräsident der Whatsapp-Mutter Facebook, letzte Woche mit der Behauptung, der Messenger sei unhackbar.
Doch ist Whatsapp im letzten Jahr wirklich unsicherer geworden? Experten glauben das laut der "Financial Times" nicht. Sie gehen davon aus, dass Whatsapp vorher schlicht schlampiger bei der Suche nach Lücken war - und entsprechend auch weniger gefunden und gemeldet hatte. "Dass die Lücken nun gefunden wurden, heißt ja nicht, dass sie jetzt erst aufgetaucht sind", erklärte etwa Sicherheits-Experte Marc Rogers. Die nun gemeldeten kritischen Lücken könnten folglich schon viel länger im System vorhanden gewesen und auch ausgenutzt worden sein. Dafür spricht auch, dass der Bezos-Hack bereits im Mai 2018 erfolgte - als Whatsapp die dafür genutzte Lücke noch gar nicht gekannt haben wollte.
Fahrlässige Fehlerkultur
Der ehemalige NSA-Mitarbeiter Ron Gula erhebt gegenüber der "Financial Times" deshalb schwere Vorwürfe: Whatsapp gehe verantwortungslos mit seinen Nutzern um. Der Messenger solle mehr Zeit und Energie investieren, die Lücken selbstständig zu finden und zu beheben, fordert er. Tatsächlich war auch 2019 die Entdeckung vieler Lücken externen Experten wie Googles Project Zero zu verdanken.
Facebook sieht das naturgemäß anders. Die höhere Zahl an Meldungen sei ein gutes Zeichen, man zeige so Transparenz, erklärte der Konzern der Zeitung. Alle Sicherheitslücken seien bei Bekanntwerden bereits geschlossen gewesen. Zudem wolle man Sicherheitsexperten unterstützen. Für Rogers sieht es allerdings anders aus. "Plötzlich schaut eben mal jemand genauer hin - weil sie sich fürchten."
Quelle: Financial Times
