WhatsApp für iOS: Bug lässt unter Umständen Zugriffsschutz per Touch ID und Face ID aushebeln


WhatsApp bietet unter iOS seit kurzer Zeit die Möglichkeit, die App vor unbefugten Zugriffen zu schützen. Man kann einstellen, dass immer oder nach einer bestimmten Zeit die Verifizierung durch den Nutzer via Touch ID oder Face ID (alternativ durch Code-Eingabe) nötig ist, um Zugang zur App zu erhalten. WhatsApp hat bei der Implementierung der Funktion aber nicht ganz sauber gearbeitet, sodass sich dieser Schutz recht einfach umgehen lässt.

Auf der sicheren Seite ist man, wenn man die Abfrage von Touch ID oder Face ID auf „sofort“ stellt, dann funktioniert der Trick nicht. Stellt man aber eine längere Zeit ein, lässt sich die Abfrage umgehen. Dazu nutzt man einfach das Share Sheet in einer anderen App. Am einfachsten lässt sich das mit der Fotos-App erklären.

Man wählt ein Foto aus und ruft den Teilen-Dialog auf. Dort wählt man dann WhatsApp. Kommt nun eine Abfrage nach Touch ID / Face ID, bricht man den Vorgang ab und wiederholt ihn einfach. Im zweiten Anlauf sollte dann keine Abfrage kommen – das wiederum ist das gewünschte Ziel zur Ausnutzung des Bugs. Kommt die Kontaktauswahl von WhatsApp, ist man bereits am Ziel.

Die Fotos-App kann man nun wieder verlassen. Öffnet man WhatsApp nun ganz normal, erscheint keine Abfrage von Touch ID / Face ID, sondern man ist direkt in der App. Zu keinem Zeitpunkt wurde hier dann ein Code abgefragt, quasi als wäre die Zugangssperre nicht existent. Verifiziert haben wir das in den Versionen 2.19.30.8 und 2.19.30.13 (jeweils Beta).

Also, falls Ihr die Zugangssperre effektiv nutzen wollt, stellt den Abfrage-Timer auf „sofort“, dann funktioniert der Bug nicht.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

17 Kommentare

  1. Oder einfach Threema nehmen, weil ihn über 7 Mio. Menschen schon aktiv nutzen und weil er mit deutlichem Abstand der sicherste Messenger ist.

    Für 3 EUR ein echtes Schnäppchen – allein die Sprachqualität beim Telefonieren ist das schon wert!

    • Oder einer der anderen sicheren Messengern. Das Problem dabei ist nur, dass es entweder WhatsApp oder einer der anderen ist.

      Der gemeinsame Nenner ist dabei immer WhatsApp.

    • Hach ja, auf die Threema-Fanboys ist doch immer Verlass.

      • Grundsätzlich ist es ja gut und richtig, sich Gedanken über Alternativen zu machen, gerade bei so einem Thema wie dem Datensammler Facebook/WhatsApp. Auf der anderen Seite habe ich aber auch kein Interesse, meine zig Kontakte (div. Gruppen), mit denen ich regelmäßig über WhatsApp kommuniziere, zu einem anderen Messenger zu missionieren, nur um dann später festzustellen, dass die auch nicht wirklich besser sind, spätestens, wenn sie merken, dass sie mit den Daten gutes Geld verdienen können.
        Und eigentlich geht es bei mir über WhatsApp meistens eh nur über relativ belanglose Dinge

  2. Google einfach nach:

    „SECURE MESSAGING APPS COMPARISON“

    und dann seht Ihr ja, welches der sicherste Messenger auf dem Markt ist!

    Leider will Caschy & Co. nicht, dass ich den Link hier veröffentliche!

  3. Ich habe es eben probiert:

    Der Link zu der obigen Webseite wird hier nicht veröffentlicht! Probiere es aus:

    h t t p s : / / w w w . s e c u r e m e s s a g i n g a p p s . c o m

    Da es Deine Seite ist, muss ich Dir die Verantwortung für diese Zensur zuschreiben!

  4. Ich habe es eben probiert!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    Der Link zu der obigen Webseite wird hier nicht veröffentlicht! Probiere es selber aus – er wird selbst dann nicht genommen, wenn man leerzeichen dazwischen setzt!

    Da dies hie Deine Seite ist, muss ich Dir die Verantwortung für diese Zensur zuschreiben!

  5. Ronald der Zweite says:

    „Glaubst du deinen Schwachsinn, den du hier unter diversen Namen verzapfst, eigentlich selber?“

    Probiere es selber aus – der Link zu der obigen Seite wird von Dir oder Deinem System hier nicht veröffentlicht!

  6. @caschy
    Schlechte Laune? Warum dieser unnötig aggressive Kommentar. Wird hier aktiv gegen den Datenschutz verstossen oder woher kommt die Aussage mit den diversen Namen ? Sehe keinen „Schwachsinn“ in den nachvollziehbaren Argumenten von Ronald, zudem kann sich jeder seine eigene Meinung bilden. Wer welchen Messenger benutzt oder nutzen möchte bleibt jedem selbst überlassen. Der Markt wird sich schon selber regulieren.

    • Ich gehe mal davon aus, dass Caschy die IP-Adressen der Verfasser sehen und daher Rückschlüsse darauf ziehen kann, wer hie runter verschiedenen Namen postet.
      Witzig wird es ja vor allem dann, wenn jemand irgendeinen Blödsinn schreibt und dann bei dem zustimmenden Kommentar nicht darauf achtet, einen anderen Namen zu nehmen.
      Ich habe mir die Seite nicht angesehen, die Ronald gepostet hat, aber es könnte durchaus sein, dass diese aus bestimmten Gründen bei WordPress blockiert wird und damit meine ich nicht, weil sie Teil des der großen Weltverschwörung sind.

    • Meine Laune ist wirklich super. Und es hat auch nichts mit Datenschutz zu tun, wenn jemand unter unterschiedlichen Namen, aber identischer Mailadresse postet. Dann meldet sich das System gegen Spam bei uns. Da hätte man lieber gleich sich eine ausdenken können, wir erlauben sogar anonymes Kommentieren. Und wenn man unter JEDEM Messengerpost die immer gleiche URL postet, macht es das auch nicht besser. (Schwachsinn bezog sich auf Zensur bei ihm). Cheers 🙂

  7. Caschy ich glaube du musst hier in den Kommentaren einmal durchputzen…

  8. Da das Problem nur besteht, wenn ein Dritter Zugriff auf das Smartphone hat, finde ich persönlich das nicht so dramatisch. Und wenn man sich schon entscheidet, solche Mechanismen zu nutzen, macht eine zeitverzögerte Aktivierung m.E. sowieso nur ganz bedingt Sinn.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.