Menschen nutzen WhatsApp, um mit ihren Freunden und Familien zu chatten, weil es einfach zu bedienen und privat ist. Aber die verschlüsselte App ist vielleicht nicht so privat, wie man denkt.
WhatsApp-Gruppenchats können über eine Google-Suche leicht gefunden werden, weil die Suchmaschine Links zu Unterhaltungen indiziert, die als privat gelten.
Eine kurze Google-Suche genügt, und schon kann jeder einer Reihe von WhatsApp-Chats beitreten, darunter auch solchen, die als privat gedacht sind, berichtet die angesehene Tech-Site Vice, die als erste darüber berichtet hat.
Private WhatsApp-Unterhaltungen sind in der Regel nur über einen Einladungscode zugänglich, der den Gruppenmitgliedern vom Chat-Moderator mitgeteilt wird. Aber dieser Code ist einfach eine Textkette und eine URL, und es scheint, dass zumindest einige von ihnen indiziert werden, so dass sie von jedem über Google gefunden werden können.
Sie können sehen, ob einer Ihrer privaten Chats sichtbar ist, indem Sie chat.whatsapp.com eingeben und dann einige Details zum Gruppenchat hinzufügen.
Was ist passiert?
Der Multimedia-Journalist der Deutschen Welle, Jordan Wildon, hat gestern (21. Februar) auf Twitter eine Warnung veröffentlicht: „Ihre WhatsApp-Gruppen sind möglicherweise nicht so sicher, wie Sie denken.“
Er beschrieb, wie die Funktion „Per Link zu einer Gruppe einladen“ „es ermöglicht, dass Gruppen von Google indiziert werden“ und „sie allgemein im Internet verfügbar sind.“
Mit anderen Worten, erklärte Wildon: „
Und es kommt noch schlimmer: Selbst wenn Sie den Link nicht geteilt haben, ist es möglich, aber schwierig, eine Art Brute-Force-Methode anzuwenden, um Zugang zu einer URL zu erhalten, die zu einem aktiven Gruppenchat gehört.“
Die renommierte ethische Hackerin Jane Manchun Wong bestätigte dies in einem späteren Tweet und fügte hinzu, dass 470.000 Suchergebnisse auf Google für den Begriff „chat.whatsapp.com“ zu finden sind – ein Teil der URL, der für WhatsApp-Gruppeneinladungen verwendet wird.
Viele der Links führen zu sensiblen Themen wie Pornos, fand Vice. Bei einer flüchtigen Suche durch diesen Autor wurden einige ähnliche Links gefunden, die leicht zugänglich sind.
Es stimmt zwar, dass einige der Links für die Öffentlichkeit bestimmt sind, aber Vice fand auch Chats, die die Telefonnummern von 48 Teilnehmern einer WhatsApp-Gruppenkonversation zwischen scheinbar von den Vereinten Nationen akkreditierten Nichtregierungsorganisationen preisgaben.
Ich habe den Eigentümer von WhatsApp, Facebook und Google, um eine Stellungnahme gebeten und werde diese Geschichte aktualisieren, wenn sie antworten.
Warum passiert das?
Kurz nachdem das Problem aufgetaucht war, erklärte Danny Sullivan, der für die öffentliche Suche bei Google zuständig ist, was passiert ist. „Suchmaschinen wie Google und andere listen Seiten aus dem offenen Web auf. Das ist es, was hier passiert. Es ist nicht anders als in jedem anderen Fall, in dem eine Website zulässt, dass URLs öffentlich aufgelistet werden.“
Aber der ethische Hacker @HackrzVijay sagte, er habe das Problem bereits im November dem WhatsApp-Eigentümer Facebook gemeldet, und Facebook habe nichts dagegen unternommen. Tatsächlich handelt es sich um eine „absichtliche Produktentscheidung“, so Facebook, und Gruppenadministratoren „können den Link ungültig machen, wenn sie es wünschen.“
Außerdem gab Facebook zwar zu, dass es „überrascht“ sei, dass die Links von Google indiziert werden, sagte aber, dass es nicht kontrollieren könne, was Google indiziert.
Aber das ist doch schlecht, oder?
Es ist sicherlich nicht ideal, vor allem, wenn man WhatsApp für sensible Unterhaltungen nutzt. Jake Moore, Cybersecurity-Spezialist bei ESET, sagt, dass die Möglichkeit, Chats so einfach zu finden, „absolut erschreckend“ ist.
„Ich kann keinen vorteilhaften Grund erkennen, warum irgendeine Partei dies als eine gute Idee ansehen würde. Wenn überhaupt, lässt es WhatsApp nur unsicherer erscheinen. Es mag in der Mitte verschlüsselt sein, aber wenn man in einen Gruppenchat aufgenommen wird, hat man den Verschlüsselungsschlüssel, um weiterzulesen.“
Obwohl Moore keine eigenen Chats fand, suchte er nach „The Girls“ – dem Namen einer Gruppe, in der seine Frau Mitglied war – und fand zahlreiche andere Gruppen mit demselben Namen, darunter auch Unterhaltungen mit Pornobezug.
Was zu tun ist
WhatsApp ist Ende-zu-Ende-verschlüsselt, aber es gehört jetzt Facebook, das Instagram, Facebook Messenger und WhatsApp am hinteren Ende integriert.
Nach einer Reihe von Datenskandalen, Datenschutzproblemen und -verletzungen trauen viele Menschen Facebook nicht, so dass es sinnvoll sein könnte, etwas anderes auszuprobieren. Moore von ESET empfiehlt die Verwendung der Chat-Apps Signal oder Telegram, die sich seiner Meinung nach „stärker auf die Sicherheit und den Datenschutz der Benutzer konzentrieren“
Der Sicherheitsforscher Sean Wright stimmt dem zu. Er sagt, dass jeder, der sich Sorgen um seine Privatsphäre macht, Signal ausprobieren sollte, „da es nicht so aussieht, als ob Facebook oder Google in dieser Hinsicht viel unternehmen werden“
Persönlich bevorzuge ich Signal, das eine Reihe von verbraucherfreundlichen Funktionen hinzufügt und super-sicher und einfach zu benutzen ist. Es kommt darauf an, wie Sie Ihre Freunde und Familie dazu überreden können. Vielleicht zeigen Sie ihnen diesen Artikel und einigen sich auf die beste App für Sie alle.
–
Aktualisierung am 23. Februar um 03:20 ET
Das Problem scheint jetzt bei Google behoben zu sein, was, wie mir gesagt wurde, auf eine stille Änderung des WhatsApp-Eigentümers Facebook zurückzuführen sein könnte. Ich habe beide Unternehmen erneut um einen Kommentar gebeten und werde weitere Updates bereitstellen, sobald ich sie höre.
Das Problem besteht jedoch immer noch, wenn man andere große Suchmaschinen benutzt, und die Moderatoren von WhatsApp-Gruppen sollten sehr vorsichtig sein. Jordan Wildon empfiehlt, in die Gruppeneinstellungen zu gehen, auf „Per Link zur Gruppe einladen“ zu tippen und dann „Link zurücksetzen“.
Das schaltet den Link nicht aus, sondern erzeugt einen neuen, wie er in einem Tweet demonstrierte.
Folgen Sie mir auf Twitter oder LinkedIn.