Unbefugter Zugang über Google & Co.

Sicherheitslücke aufgedeckt: So kommen Fremde in private Whatsapp-Gruppen

Ist Ihr Gruppenchat auf Whatsapp sicher?
© dpa, Sina Schuldt, ssd jai

27. Februar 2020 - 16:24 Uhr

Einladungslinks für Whatsapp-Gruppen im Netz auffindbar

Ob intime Gespräche mit den Freundinnen oder wichtige Arbeitsthemen mit den Kollegen: Was in unseren Whatsapp-Gruppenchats so geschrieben wird, geht niemanden sonst etwas an. Doch offenbar sind sie nicht so sicher, wie viele denken: Bis vor kurzem waren Hunderttausende davon über Google auffindbar, bei Bing sind sie anscheinend weitergelistet. Der Knackpunkt: Die Links, die Admins an andere User verschicken können, um sie in die Whatsapp-Gruppe einzuladen.

Rund 470.000 Einträge gefunden

Der Journalist Jordan Wildon hatte vergangene Woche über Twitter und dem Newsportal "DW" auf das Problem hingewiesen. Er entdeckte, dass URLs, die über das Feature "Mit Link einladen" erzeugt werden, bei Google gelistet waren. Die App-Spezialistin Jane Manchung Wong fand rund 470.000 davon – die einzige Voraussetzung war offenbar, dass sie zuvor online geteilt worden waren. Das Problem: Sobald ein Admin einen solchen Link verschickt, kann er unmöglich nachvollziehen, ob dieser vom Empfänger online geteilt wird. Außerdem sei es laut Wong möglich, durch Anpassen der URLs und Suchbegriffe auch Gruppen zu finden, die noch gar nicht gelistet sind.

Sicherheitslücke oder bewusste Produktentscheidung?

Anscheinend war das Problem schon vor Wildons Hinweis bekannt: Ein Twitter-User hatte den Whatsapp-Betreiber Facebook schon im November darauf hingewiesen. In der Antwort erklärte Facebook sich überrascht und wies darauf hin, nicht vollständig kontrollieren zu können, was von Google alles gelistet wird. Nach dem aktuellen Wirbel scheint das Unternehmen allerdings reagiert zu haben: Bei Google sind die Einladungslinks inzwischen nicht mehr zu finden. Medien wie "heise online" berichten allerdings, dass andere Suchmaschinen, etwa Bing, die URLs nach wie vor anzeigen.

So schützen Sie Ihre Gruppe vor ungewolltem Zugriff

Wer auf Nummer sicher gehen will und als Admin einer Whatsapp-Gruppe bereits Einladungslinks verschickt hat, sollte diese widerrufen – das funktioniert in den Einstellungen über "Gruppeninfo". In Zukunft empfiehlt es sich, neue Mitglieder nur noch über die Funktion "Teilnehmer hinzufügen" einzuladen.

Vorsicht ist auch geboten, wenn man von einem Whatsapp-Kontakt um einen Sicherheitscode gebeten wird: Mit diesem Trick versuchen Hacker gerade, ganze Whatsapp-Konten zu übernehmen.