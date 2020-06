Durch die Click-to-Chat-Funktion von WhatsApp lassen sich dort hinterlegte Telefonnummern in der Google-Suche finden. Ein Sicherheitsforscher sieht darin ein Risiko: Er meint, zumindest könnte die Verfügbarkeit ausgenutzt werden. Facebook hingegen wiegelt ab.

Mit Click-to-Chat werden Links auf Seiten eingebunden, über die Nutzer Kontakt zum Seitenbetreiber aufnehmen können. Für den Chat muss dann keine Kontaktnummer abgespeichert werden. Zur Erstellung des Links nutzt Facebook die echte Telefonnummer. Diese erscheint dann in der URL, die immer unter der Domain wa.me läuft. Man kann also in der Suche nach den wa.me-Seiten suchen, gibt man zusätzlich etwa eine Ländervorwahl ein, listet Google passende Nummern auf. Teilweise sind damit auch Kontaktanfragen öffentlich verfügbar. So schreibt ein Nutzer, dessen Name zwar unbekannt, aber seine Telefonnummer verfügbar ist: "Bei der Macht von Grayskull: Schick mir Videos, Bilder und so. Ich will helfen."

Bug oder Teil des Features

Athul Jayaram warnt in einem Artikel bei Threatpost, die Nummern seien durch die Veröffentlichung als existierend bestätigt und könnten missbraucht werden. Immerhin seien es 300.000 Telefonnummern, die Google so indexiert hat. Der Sicherheitsforscher und Bug-Bounty-Jäger meint auch, die Daten reichten für Missbrauch und der Umgang sei eine schwere Sicherheitslücke. Wählt man den Chat mit einer Nummer aus, bekommt man in WhatsApp nämlich zum Teil auch Profilinformationen zu sehen, dazu gehören Profilbilder, der Name und optional ein Informationstext. Nun muss man bedenken, dass diese in der Regel zu einem Unternehmen gehören – denn gerade für sie ist Click-to-Chat gedacht.

In der Anleitung zum Anlegen der Chat-Funktion erklärt Facebook beziehungsweise WhatsApp auch direkt, dass die Telefonnummer Teil der URL sein wird. Eine Facebook-Sprecherin sagte Threatpost: "Unsere Click-to-Chat-Funktion gibt Nutzern die Möglichkeit, eine URL mit Telefonnummer zu erstellen, damit sie darüber schnell und einfach angeschrieben werden können." Dies nutzten vor allem kleine Unternehmen, um mit ihren Kunden in Kontakt zu kommen.

Erst im Februar flog auf, dass Google Hunderttausende Einladungslinks zu WhatsApp-Gruppen indexiert hatte und sie entsprechend zu finden waren. Hier musste in der Suche nach site:chat.whatsapp.com eingegeben werden. Mit dem Link stand sowohl der Chat als auch der gesamte Chatverlauf Fremden zur Verfügung. Auch in diesem Fall meinte Facebook, sei es ein Feature, kein Bug – und verwies auf Googles Indexierung als Problemauslöser.

(emw)