WhatsApp benutzt die Telefonnummer eines Anwenders bzw. seiner Kontakte als sogenannten Unique Identifier – also als eine Ziffern- oder Zeichenkombination mit dem sich bspw. Hardware, Software, Personen etc. eindeutig identifizieren lassen.
Bereits vor der Nutzung von WhatsApp muss sich ein Anwender daher mit seiner Telefonnummer anmelden und registrieren. Dies gilt für jeden WhatsApp-Kontakt.
Durch den Telefonbuchzugriff erfolgt eine Übermittlung an WhatsApp. Dieser dient zunächst also einem ganz einfachen Zweck: WhatsApp weiß, welcher Kontakt eines Anwenders ebenfalls WhatsApp.
Für den Anwender ist das bequem, so sieht er doch alle die ebenfalls die WhatsApp - App registriert haben automatisch und er Übersicht zur Kontaktaufnahme.
WhatsApp schient die Auffassung zu vertreten, dass eine Telefonnummer, die mit der MD5- Hashfunktion (diese ist seit langem gebrochen) und einem festen Salt auf 53-Bit »geschrumpft« und anschließend gemeinsam mit der Landesvorwahl als 64-Bit Wert gespeichert wird ausreichend anonymisiert ist.
Mit einem solchen Verfahren lässt sich keine ausreichende Anonymisierung erreichen. Es darf davon ausgegangen werden, dass binnen weniger Minuten sich alle »anonymisierten« Telefonnummern leicht wieder rekonstruieren lassen.
Woran liegt das ? So genannte Rainbow-Tabelle mit der Zuordnung Telefonnummer zu Hashwert können mit vertretbarem Aufwand in Zeit, Geld und Material berechnet werden. Gehen wir von einem aufwändige Hash-Verfahren wie bspw. SHA-512 aus, könnte ein Angreifer mit mehreren Nvidia GTX 1080 Grafikkarten und einer entsprechenden Software eine Rainbow-Tabelle in gut 32 Stunden (10¹⁵ / 8624700000 Hash/s = 115946,061892008 Sekunden) erstellen. Für ein stark vereinfachtes Verfahren wie MD5 kam dieser Angreifer auf ca. 83 Minuten.
Das könnte auch als schlechter Witz verstanden werden.
Schauen Sie sich daher immer gut die technische Umsetzung an und hinterfragen Sie diese.
Schützen Sie Ihre Kontakte ! SecureContact ist hier eines der richtigen Werkzeuge.