bedeckt München 17°
vgwortpixel

Sicherheitslücke:Fremde im Whatsapp-Gruppenchat

Unbefugte können über einen Umweg beitreten: Die Suchmaschine Bing listet Links zu Whatsapp-Gruppenchats in den Ergebnissen.

Tausende Whatsapp-Gruppenchats stehen über die Suchmaschine von Microsoft Unbefugten offen. Die Suchmaschine Bing erfasst viele jener Einladungslinks, die Mitglieder einer Gruppe verschicken können, um gezielt neue Mitglieder in die Gruppe zu holen. Jeder, der den Link klickt, erhält Zugang zur Gruppe. Dass diese Zugänge aber offen im Netz stehen, dürfte den allerwenigsten Whatsapp-Nutzern bekannt sein. Gruppenmitglieder, die als Administratoren erweiterte Rechte haben, müssen auf den Besucher aufmerksam werden, um ihn wieder aus der Gruppe zu werfen. Bing erfasst offensichtlich viele dieser Links als normale Suchergebnisse. Eine kurze Eingabe in Bings Suchmaske reicht, um Gruppen beitreten zu können. Die SZ konnte so beispielsweise problemlos einer Gruppe beitreten, zu deren Mitgliedern sie keinerlei Kontakt hatte. Eine Suche nach "Deutschland" brachte als ersten Treffer eine Gruppe, deren Beschreibung aus den Worten "Heil Hitler" besteht.

Betroffenen bleibt derzeit nur, ihre Einladungslinks zu widerrufen, damit sie nicht mehr über die Suchergebnisse funktionieren. Das ist in den Einstellungen unter "Gruppeninfo" möglich. Wer hier nie einen Einladungslinks abgerufen hat, ist laut bisherigem Kenntnisstand dem Anschein nach nicht betroffen.

Whatsapp erklärte in einer Stellungnahme, man wolle den Fall nicht weiter kommentieren, Links zu Gruppenchats könnten aber "nur gefunden werden können, wenn diese vorher öffentlich im Internet gepostet worden sind". Nur weiß vermutlich kein Gruppenadministrator, ob sein Link schon einmal ins Netz gestellt wurde.

Eigentlich sollten die Einladungslinks im Netz nicht mehr auffindbar sein. Am Wochenende hatte Jordan Wildon, Journalist der Deutschen Welle, herausgefunden, dass sich die Gruppen über Google finden und betreten lassen. Whatsapp sorgte dann mit einer technischen Umstellung dafür, dass die Gruppen über Google nicht mehr auffindbar waren. Auf Bing sind sie aber nach wie vor zu finden.

Offensichtlich war diese Art, Gruppen per Suchmaschine zu finden, vom Facebook-Konzern gewollt, dem Whatsapp gehört. Als ein Hacker Facebook auf die Situation aufmerksam machte, antwortete ihm Facebook nur: Es handele sich nicht um einen Fehler, sondern um eine "bewusste Produktentscheidung".

© SZ vom 27.02.2020
Zur SZ-Startseite