News Exploit: WhatsApp ließ den Abruf von 3,5 Mrd. Telefonnummern zu

[icezolation]

Wem es wichtig ist mich zu erreichen drängt mir nicht WhatsApp auf, sondern schafft es einen Anruf abzusetzen oder eine SMS zu schicken.

Bei dem ganzen Datenmüll den die Leute allein via WA rumschicken soll mir keiner davon erzählen dass sie keine Zeit und Speicher auf dem Smartphone hätten um Signal zu installieren.

Sowohl meine Eltern als auch engsten Freunde hatten kein Problem damit Signal zu nutzen - wenn auch nur um mich darüber zu erreichen. Und sobald die Leute verinnerlicht haben, dass man kein WA hat, wird es besser.

Dass Meta kein Missbrauch der Lücke bekannt ist schön und gut, schliesst es aber auch nicht aus.

 

[Piak]

Oha, den Datensatz nehm ich gerne. Der hat ja einen Hammer Wert

 

[Syrato]

Moin, die Headline ist irreführend. Und ein wenig clickbait, wenn anschließend ausm Artikel hervorgeht, dass es keinen echten(!) Datenleck gegeben hat.

Was ist echt und was nicht?

 

[KitKat::new()]

Wenn Login-Daten nicht erkannt werden, Verläufe verschwinden, alle Chats durcheinander geworfen werden, dann brauch ich damit der Verwandtschaft nicht zu kommen...

Also man kann ja nur spekulieren wo du das gelesen hast, aber das sollte nicht passieren und kann ich nicht bestätigen.

Auch die dezentrale Kommunikation stört mich, wenn ich das richtig verstanden habe.
Ich will Bilder, Videos und Chats nur auf dem Server lokal speichern und nicht dezentral überall.
Wenn Daten sonst wo liegen kann man auch bei WhatsApp bleiben

Die Daten liegen nicht sonstwo, sondern auf deinem Server.
Und da andere ebenfalls ihren eigenen Server haben können, liegen sie für die andere Person ebenfalls auf deren Server (unterscheidet sich für jede Konversation), aber nicht irgendwo.

 

[end0fseven]

Zja, diese ewige Diskusion mit anderen Messengern. Ich nutze seit diesem Jahr vermehrt Signal. Wichtige Personen habe ich mittlerweile dort.

Die einzige hoffnung die ich habe ist auf RCS. Nur weigern sich unsere Schweizer Mobilfunkanbieter noch den Standart auch zwischen iOS und Android zu öffnen. Man beobachte den Markt ob eine Implementierung nötig ist...
Bei RCS wären bei mir echt schon viele Leute Verfügbar. Bevorzuge aber noch Signal da ich das unter Linux installieren kann. Vorallem auch den Vollständigen Client, nicht so wie bei Whatsapp nur die Webversion wo man nichtmal Telefonieren kann.

Spam Anrufe hatte ich dieses Jahr erstaunlich viele, nach dieser Meldung wundert mich leider nichts mehr. Vorallem hatte ich neu Spam Anrufe in Whatsapp selber. Aber die werden sowiso direkt geblockt bei Unbekannt.

 

[Haldi]

Hätte auch bei Signal passieren können!
Die Telefonnummer ist das einzige was effektiv gespeichert wird. Neben dem letzten Login Datum.

 

[OldNewUser]

Zum Glück wird demnächst third party interoperability gegeben sein in der EU.

Wenn andere Anbieter die Protokolle halt auch unterstützen... (Ich hoffe es wirklich. Whatsapp ist mein letzter Berührpunkt mit Meta)

 

[willriker]

Als Forscher darf ich sagen: "Forschende" ist ein schreckliches Wort, Herr Chefredakteur. Wenn schon gegendert werden muss, dann bitte zumindest die "Forscherinnen und Forscher" erwähnen, falls auch wirklich beide Geschlechter beteiligt waren. Das muß aber zuerst recherchiert werden...

 

[SSD960]

Leider war WhatsApp zuerst da. Und viele nicht nicht zum Umstieg zu bewegen. Damit wird es wohl so bleiben. Nach dem Motto "Was habe ich schon zu verbergen".

 

[habla2k]

Mit dem gleichen Argument kann ich aber auch jedes andere Problem totreden

Sollte auch gar kein Argument dafür sein, es dann einfach weiter zu nutzen. Ich selbst bin seit Jahren von WA weg und nutze nur noch Signal und Threema.

Wollte nur drauf hinweisen, dass man sich WA leider nicht komplett entziehen kann.

 

[9t3ndo]

Ich glaub meine Rufnummer ist durch 5 oder 6 Datenlecks von unterschiedlichen Firmen eh im Umlauf. Da macht WhatsApp den Kohl jetzt auch nicht mehr fett.
Meine Liste blockierter Rufnummern ist schon lange länger als die Menge meiner gespeicherten Kontakte.

 

[FrAGgi]

Auch die dezentrale Kommunikation stört mich, wenn ich das richtig verstanden habe.
Ich will Bilder, Videos und Chats nur auf dem Server lokal speichern und nicht dezentral überall.
Wenn Daten sonst wo liegen kann man auch bei WhatsApp bleiben

Wie genau stellst du dir das vor?
Dass die Daten nur auf deinem Server liegen obwohl du mit anderen Leuten schreibst?

Der dezentrale Ansatz lässt es ja eben zu, dass nicht mehr nur einer bestimmt wo Daten liegen und was mit ihnen passiert.

Wenn du das willst, kannst du bei WhatsApp bleiben

 

[Jan]

Das gleiche kann ich auch scripten und einfach die Telefonnummern anrufen und notieren ob ein "diese Nummer gibt es nicht" zurück kommt.

Aber Meta unterbindet ja offiziell, dass man das für 3,5 Mrd. Telefonnummern macht. Dass es doch ging, war eine Sicherheitslücke.

 

[Seven2758]

Es ist schon bezeichnet, wie ignorant Meta sein kann.
Denn seit Jahren kann man mit simplen Skripten Profilbilder, Onlinezeiten oder Daten von Gruppenmitgliedern abgreifen. Daher ist es eigentlich nicht überraschend, dass die österreichischen Forscher ein Jahr lang ignoriert wurden, obwohl man wohl sogar den öffentlichen Schlüssel abgreifen und die Verschlüsselung herabstufen kann.

Ein Teil der Forschungsgruppe hat sich bereits mehrfach mit WhatsApp befasst und beispielsweise eruiert, was WhatsApp trotz Verschlüsselung verrät, und herausgefunden, wie ein Angreifer die Whatsapp-Verschlüsselung herabstufen kann. Dennoch stellte sich Whatsapp-Betreiber Meta Platforms hinsichtlich der neuen Forschungsergebnisse ein Jahr lang taub.

Wiederholte Warnhinweise, die die Gruppe der Universität Wien und der österreichischen SBA Research ab September 2024 bei Whatsapp eingereicht haben, wurden zwar mit Empfangsbestätigungen bedacht, bald aber zu den Akten gelegt. Erst als die Forscher zweimal einen Entwurf ihres Papers einreichten und dessen unkoordinierte Veröffentlichung bevorstand, wachte Meta auf

Heise

 

[Drakrochma]

Also man kann ja nur spekulieren wo du das gelesen hast, aber das sollte nicht passieren und kann ich nicht bestätigen.


Die Daten liegen nicht sonstwo, sondern auf deinem Server.
Und da andere ebenfalls ihren eigenen Server haben können, liegen sie für die andere Person ebenfalls auf deren Server (unterscheidet sich für jede Konversation), aber nicht irgendwo.

Die Bewertungen der Android-App hatte ich mir angesehen.
Sieht Anhang.
Und damit brauche ich der Verwandtschaft nicht zu kommen, wenn ein Wechsel erfolgreich sein soll

Ich würde gerne weg von WhatsApp und den Rest der Familie da auch weg bekommen.
Aber dann muss das neue System eben funktionieren.


Bezüglich den Daten hab ich dann wohl entweder deren Seite gründlich missverstanden oder bin falsch abgebogen.
Aber wahrscheinlich einfach missverstanden...

 

[DerMond]

dennoch vermute ich das meine handy nummer durch meta (facebook leak) veröffentlicht wurde, weshalb ich ständig anrufe aus GB und anderen mehr oder weniger exotischen ländern bekomme

Die bekomme ich auch mit einer Sim deren Nummer ich noch nie weitergegeben habe. Das wird alles zufällig gewählt.

Bald werden Nummern automatisch gewählt und eine KI führt dann in einem perfekten English oder gar Deutsch das betrügerische Gespräch.

Übrigens auch die Hauptfunktion jeder KI - Müll & Betrug.

 

[ElliotAlderson]

@Drakrochma Am ehesten dürfte da wohl https://matrix.org/ in diese Richtung gehen.

Selber Hosten heißt: Linux Server aufsetzen, Backups verwalten, Firewall einrichten etc?
Ne, sorry, manche wollen ihr Handy auch einfach nur nutzen und nicht vorher IT studieren.

Mit Signal und Threema gibt es doch deutlich datenschutzfreundlichere Alternativen.

Ist das wirklich so oder eben nur auf dem Papier?

Man bekommt die Leute einfach nicht aus WA raus.. Lieber ignorieren die einen dann, als das die sich wenigstens bei Threema oder Signal nen Account machen..

Threema kostet 6€, Whatsapp ist kostenlos und viele Menschen nutzen es schon seit Jahren. Weshalb wechseln und auch noch Geld bezahlen, wenn man mit dem bisherigen zufrieden ist.

 

[Seven2758]

Aber Meta unterbindet ja offiziell, dass man das für 3,5 Mrd. Telefonnummern macht. Dass es doch ging, war eine Sicherheitslücke.

Nein, genau das ist eben nicht der Fall, wenn Meta ein Datenabgleich von 7.000 Telefonnummern pro Sekunde bzw. Profildaten und Schlüsseldownloads 3.000/2.000 pro Sekunde ermöglicht.

Das ausgewertete Teilnehmerverzeichnis von WhatsApp muss grundsätzlich für WhatsApp-Nutzer offenstehen. Sie müssen ja wissen, wen sie über die App erreichen können. In der Regel erfolgt das über den Abgleich des Smartphone-Adressbuchs. Das erfordert aber nicht, dass sich jeder unbegrenzt am Nutzerverzeichnis bedienen können muss – doch genau das war der Fall.

Wie Gabriel Gegenhuber (Universität Wien), Philipp Frenzel (SBA Research), Maximilian Günther, Johanna Ullrich und Aljosha Judmayer (alle Uni Wien) herausgefunden haben, erlaubte Meta den Abgleich von 7.000 Telefonnummern pro Sekunde und Instanz mittels XMP-Protokoll, samt Download der jeweiligen Geräteliste. Profildaten und Schlüsseldownloads waren mit 3.000 beziehungsweise 2.000 pro Sekunde etwas langsamer. Dafür standen die Profilfotos auf einem HTTP-Server, der im Rahmen des Projekts sekündlich 5.500 Bilder in hoher Auflösung lieferte.

Die Forscher legten Wert darauf, ihre Anfragen nicht zu verschleiern. Sie nutzten für ihre Abfragen dieselbe statische IP-Adresse, die über die Abuse-Kontaktdaten als der Uni Wien zugehörig erkennbar und deren Administrator erreichbar war. Kontaktversuche zu WhatsApp-Clients oder das Abfangen von Nachrichten gehörten nicht zum Verfahren. Die XMP-Abfragen liefen grundsätzlich mit höchstens fünf parallelen Threads und 50.000 Datensätzen pro Abfrage, um die Infrastruktur nicht zu überlasten.

Genutzt haben die Forscher dafür die Software whatsmeow. Das ist eine unabhängige Open-Source-Implementierung WhatsApps. Die Parameter der Serverschnittstellen (API) sind für whatsmeow reverse engineered worden.

Beim Fotodownload hingegen setzten die Wiener 1.000 parallele Threads ein, für einen kurzfristigen Versuch sogar 10.000. Abwehrreaktionen der Meta-Server oder Abuse-Beschwerden blieben aus. Der Datenkonzern verzichtete offenbar auf Monitoring. Die gesammelten Fotos und Telefonnummern haben die Wissenschaftler nach Abschluss der Auswertung gelöscht.

Heise

 

[Djura]

Genau lesen: WhatsApp LIESS den Abruf zu. Das hat Meta ja sogar bestätigt. Ob das jetzt wer abseits der Uni bereits getan hat, ist im Titel gar nicht Thema.

Hätte man im Titel die Forschenden erwähnt, dann wäre es klar und eindeutig. Aber so ist es einfach nur billiges Clickbait. Kannste machen nix. ¯\(ツ)/¯

 

[Caramon2]

Ich hatte WhatsApp 2014 wegen einer Freundin einige Monate installiert: Ich fand es gegenüber eMails stark eingeschränkt und als es von Facebook gekauft werden sollte, habe ich mein Konto gelöscht, WhatsApp deinstalliert und der Freundin gezeigt wie mal eMails schreibt: Eine eMails-Adresse hat ja sowieso jeder mit Smartphone und per IMAP lässt sich das auch problemlos geräteübergreifend nutzen. Sogar an fremden PCs: Man muss sich nur in den online-Mailer seines Anbieters einloggen.

Ich fand es sowieso sch…ade , dass man jedem Kontakt seine Telefonnummer geben musste: Bekommt man Spam-Mails, kann man den Alias einfach löschen und einen neuen erstellen. Eine Telefonnummer ist nicht so schnell geändert (meine damalige habe ich inzwischen aber auch nicht mehr).

Facebook hatte ich auch nur kurz genutzt, weil ich damit nichts anfangen konnte und beim nächsten Datenskandal gleich wieder gelöscht. Anderes in der Art kenne ich höchstens vom Namen her und wenn ich mein Handy nicht online nutze, schalte ich es in den Flugmodus: Spart Akku und niemand kann im ungünstigen Momenten nerven: Z. B. wenn ein Film gerade spannend wird, die Sauce gerade anfängt zu kochen und man nicht weg kann, oder ich was aufwändiges mache und nicht aus der Konzentration gerissen werden möchte (alles schon mehrfach vorgekommen).