WhatsApp: Script scannt Nummern, zeigt Bild und Status der Nutzer
WhatsApp steht oft im Mittelpunkt der Berichterstattung, wenn es um Datenschutz und ähnliches geht. Der beliebte Messenger stand schon vor seiner Übernahme durch Facebook im Fokus und ist immer noch eines der liebsten Kinder der Datenschützer. Neulich gab es ja erst ein entsprechendes EU-Urteil zum Datentausch. Interessant ist, dass WhatsApp seit Jahren eine Schnittstelle hat, die sich dazu nutzen lässt, Informationen über Nutzer auszulesen. Dazu gehört beispielsweise das Anzeigen eines Profilbildes oder des Status.
Vereinfacht gesagt kann ich einen Kontakt von Hand hinzufügen und könnte ja sehen, welches Profilbild er hat – und was sein Status ist. Dies sieht man natürlich nur, wenn man entsprechende Datenschutzeinstellung nicht geändert hat (Einstellungen > Account > Datenschutz). Der niederländische Sicherheitsforscher Loran Kloeze hat nun ein Script veröffentlicht, mit dem sich jeder (!!!) eine Datenbank zusammenschustern kann. Sein Script erlaubt das Eingeben einer Range von Telefonnummern, beispielsweise 4917627505077 – 4917627505177.
Danach zeigt das Script bei den aktiven Nutzern, die ihre Datenschutzeinstellungen nicht geändert haben, das Profilbild und den Status an. Was man damit nun anstellen kann, überlasse ich eurer Phantasie. Loran Kloeze hat Facebook über diesen Umstand benachrichtigt, bekam allerdings als Antwort, dass man dies nicht als Sicherheitslücke einstufe.
Das Script ist selbst für Einsteiger anwendbar. WhatsApp im Browser öffnen, Entwicklertools aufrufen und den Code in die Console werfen. Es erscheint eine Oberfläche, in der man den Bereich mit den Telefonnummern definiert, gefolgt von der Anzeige der Profilbilder und der Statusmitteilungen. Per Klick sieht man die Profilbilder groß im Browser. Falls ihr euch fragt, ob das Ganze auch wirklich funktioniert: Jau, habe es eben selbst ausprobiert.
Script schon wieder weg?
nö
Alt… Gab’s 2015 schon, inklusive Tracking der Onlinezeit
https://nakedsecurity.sophos.com/2015/02/17/whatsapp-spy-tool-lets-anyone-track-when-youre-online/
Ich muss sagen, dass scream in der Url gefällt mir 🙂
@joe: Und nun liest du den ersten Absatz noch einmal genau 😉
Ups, überlesen dass du da auch schon drauf verlinkst, sorry. Da war ich wohl zu schnell. Aber das einzig neue ist jetzt, dass er das über JavaScript macht. Die „Lücke“ als auch Facebooks/WhatsApps Standpunkt dazu haben sich in den letzten 3 Jahren nicht geändert.
Also ich finde den Sicherheitsforscher übertrieben, der sich da jetzt aufspielt was er doch für ne tolle Lücke gefunden hat.
Naja, wenn die Datenschutzeinstellungen auf anzeigen für „Jeder“ steht, muss man sich nicht wundern, dass man in dieser Liste erscheint. Ein bisschen Mitdenken sollte man doch von jedem User erwarten können, so dass die Einstellungen auf „Meine Kontakte“ oder „Niemand“ geändert werden.
Als Sicherheitslücke sehe ich das nicht an. Ist ähnlich, als wenn man sein Facebook-Profil auf „öffentlich“ stellt und dazu noch einstellt, dass das Profil in Suchmaschinen ausserhalb von Facebook angezeigt wird.
Ok, gut zu wissen, dann blockt die arbeit nur den gist-link..
@BeardMan
uns was soll das dann? Ich hab die Nummern von jemanden nicht aber der meine, Darf dann aber mein Bild nicht sehen nur weil ich ihn nicht abgespeichert hab???
Echt tolle Idee, das ist was bei WA auch noch auf den Sack geht. Gruppen mit x-leuten, siehst eh sogut wie nie, dann hast net mal deren Gesicht damit du weißt um wenn es sich in der Gruppe handelt. Echt Tolle idee. Warum nicht gleich das Phone in den Müll schmeißen und eine Alufolienkappe aufsetzen?
Das Script funktioniert super…. Zum kotzen. Sicher, dass die Datenschutzeinstellungen hierbei trotzdem greifen?
Es ist nur ein Bild!
Ich laufe in der Gegend auch nicht (immer) mit einer Papiertüte über meinem Kopf rum.
Gefällt es mir nicht, dass jeder mein Bild sehen kann, verwende ich entweder ein Symbolfoto oder schalte dies in den Datenschutzeinstellungen aus.
Als wenn diese „Erkenntnisse“ noch einen einzigen WA-Nutzer schrecken würde! Wer heute noch WA verwendet, hat unter Beweis gestellt, dass er über keinen Zugang zum Thema Datensicherheit verfügt … insofern: so what?
Das in Verbindung mit der Bildersuche von Google und man könnte Mal schauen wieviele Namen man Telefonnummern zuordnen könnte.
@Melle
„wer heute noch WhatsApp nutzt“…es sind 37 Mio. alleine in Deutschland, natürliche alle nicht so schlau wie du und nicht an Datenschutz interessiert. LOL 😀
Wenn ich es das richtig verstanden habe, ist dieses Script der Traum für Werbenetzwerke und Spammer. Man bekommt auf einen Rutsch Tausende von verifizieren Handynummern mit Bild und Status. Und Facebook ist das egal. Sorry, aber wer da noch freiwillig seine Daten (und ohne Erlaubnis die von Dritten!!!) an Facebook gibt, dem ist wohl nicht mehr zu helfen. Jaja, ich hab nichts zu verbergen.
Ich verstehe eh nicht, wozu man bei Whatsapp sein Bild, Info, Online Status auf öffentlich macht? Damit die gelöschten Kontakte nichts davon mitbekommen?
Für was anderes macht es doch null Sinn.
@BeardMan
So ist es, minus Ironie.
Bequemlichkeit tötet kluge Entscheidungen. Zumindest für 37 Mio. in Deutschland. Und jeder sagt: Aber meine Freunde erreiche ich nur über WhatsApp.
@Joe
Das mag vielleicht auf die zutreffen, die ihr Profil nicht entspechend schützen, so dass es öffentlich sichtbar ist. Du willst mir doch jetzt nicht erzählen wollen, dass dies alle 37 Mio. WhatsApp-Nutzer in Deutschland betrifft? Ach ja, ich vergass, dass man ja als WhatsApp-Nutzer grundsätzlich zu dumm ist, um datenschutzrechliche Dinge zu verstehen und umzusetzen. Das betrifft natürlich auch solch datenschützungswürdige Unterhaltungen unter Freunden wie: „Hey, gehen wir heute Abend ein Bier trinken?“. LOL
@Joe
Dein letzter Satz ist leider wahr. Ich habe über einen Monat das Experiment ohne WhatsApp gemacht. Ich habe bestimmte Leute nicht mehr erreichen können und ich wurde kaum noch angeschrieben. Im Endeffekt konnte ich eine einzige Person überzeugen in diesem Fall über Telegram zu schreiben.