Weltweit sollen mehr als zwei Milliarden Menschen über WhatsApp kommunizieren. Das bedeutet, dass Datenschutz beim Austausch eine wichtige Rolle spielt. Ein dafür nötiges Feature lässt sich aktuell aber durch einen Fehler aushebeln.
WhatsApp: Dieser Bug tritt gerade auf
Wer Bilder und Videos versenden, diese aber nicht dauerhaft im Chat belassen möchte, kann die „Einmal ansehen“-Funktion nutzen. Sie wird gekennzeichnet durch einen kleinen Kreis, dessen Rand zur Hälfte gestrichelt ist und in dem eine „1“ steht. Tippst du zum Abschicken darauf, lasst sich die Datei genau einmal aufrufen. Danach wird sie als „geöffnet“ markiert und ist nicht mehr einsehbar.
Eigentlich ist das Feature so konzipiert, dass es nur in den mobilen WhatsApp-Anwendungen für Android und iOS funktioniert. Wie der Sicherheitsforscher Tal Be’ery jetzt aber berichtet, ermöglicht es eine Fehlfunktion in der browserbasierten Web-App jeder und jedem böswilligen Empfänger*in, sowohl Bild als auch Video anzuzeigen und zu speichern.
Wenn jemand eine derartige Datei erhält, während WhatsApp in der Desktop-App oder in der Web-App verwendet wird, wird er normalerweise gewarnt, dass sich diese nur auf dem Telefon öffnen lässt. Zudem ist es aus Gründen der Privatsphäre eigentlich nicht möglich, Screenshots oder Bildschirmaufnahmen von „Einmal ansehen“-Bildern und Videos zu machen.
Lesetipp: Das erwartet WhatsApp-Nutzer*innen in Deutschland bald
Das sagt der Experte
Be’ery, der sich seit einigen Monaten mit Datenschutzproblemen bei WhatsApp beschäftigt, veröffentlichte am Montag einen Blog-Beitrag, in dem er seine Erkenntnisse zum neu entdeckten Fehler darlegte: „Als wir uns die Implementierungsdetails ansahen, waren wir sehr überrascht, dass ‚Einmal ansehen‘ zwar auf Plattformen beschränkt sein soll, auf denen die App ihre angezeigten Inhalte kontrollieren und andere Prozesse daran hindern kann, sie zu missbrauchen, aber vom API-Server von WhatsApp nicht durchgesetzt wird. Infolgedessen kann ein Client auf jeder Plattform die Nachricht herunterladen und das ‚Einmal ansehen‘-Versprechen ungültig machen.“
Der CTO und Mitbegründer der Kryptowallet Zengo fällte ein entsprechendes Urteil zum derzeitigen Problem des beliebten Messengers: „Das Einzige, was schlimmer ist als keine Privatsphäre, ist ein falsches Gefühl von Privatsphäre, bei dem die Nutzer glauben, dass einige Formen der Kommunikation privat sind, obwohl sie es in Wirklichkeit nicht sind. Derzeit ist WhatsApps ‚Einmal ansehen‘ eine stumpfe Form der falschen Privatsphäre und sollte entweder gründlich repariert oder aufgegeben werden.“
Gemeldet hatte Be’ery den Fehler am 26. August an die WhatsApp-Muttergesellschaft Meta über deren offizielle Bug Bounty-Plattform. Auf die Anfrage des Techmagazins TechCrunch erklärte der offizielle WhatsApp-Sprecher Zade Alsawah: „Wir sind bereits dabei, Updates für die Web-Ansicht auszurollen. Wir ermutigen unsere Nutzer weiterhin, ‚Einmal ansehen‘-Nachrichten nur an Personen zu senden, die sie kennen und denen sie vertrauen.“
Quellen: Zengo, TechCrunch
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.