[Tarnkappe] WhatsApp: Nehmen Firmen künftig Einfluss auf Adressbuch der Nutzer?

​

Wie Chip.de unter Berufung auf den niederländischen Blog „Whatsappen.nl“ berichtet, plant WhatsApp offenbar in einer neuen Version, die Bedürfnisse von Unternehmen zu optimieren. Für die Durchführung dieser Maßnahme wird es erforderlich, dass WhatsApp auf das Adressbuch seiner Nutzer zugreift.



So sind bereits Screenshots von der neuen Funktion vorhanden, die vom niederländischen WhatsApp-Blog „Whatsappen.nl“ bei Twitter eingestellt wurden. Hier wird gezeigt, dass die App demnächst im eigenen Adressbuch hinterlegte Namen von Firmen ändern kann. Das Feature entdeckte der Blog in einer Beta-Version.



Demnach werden Nutzer per Benachrichtigung von WhatsApp dazu aufgefordert, Unternehmen mit ihrem korrekten Namen auf ihrem Handy abzuspeichern, falls der Name der Firma im Adressbuch des Nutzers anders angegeben ist, als es von ihr gefordert wird. Tippt der Nutzer dann zur Aktualisierung des Namens auf den Hinweis, ändert WhatsApp den im Adressbuch des Users hinterlegten Firmennamen in die vom Unternehmen gewünschte Version. Das ist der App möglich, weil sie bei der Installation Zugriff auf das Adressbuch des Users bekommen hat. Erst, wenn der Eintrag den Vorgaben von Whatsapp entspricht, wird das Unternehmen beim Nutzer mit einem grünen Haken verifiziert. Eines der ersten an dieser Aktion Beteiligten ist die niederländische Airline KLM.

Offenbar können nun Unternehmen entscheiden, wie sie bei dem Nachrichtendienst abgespeichert werden wollen. WhatsApp gab dazu bekannt, dass sie Firmen mit dieser Vorgehensweise erleichtern wollen, mit Usern in Kontakt zu treten. Das dürfte wohl bei vielen Nutzern der App auf Kritik stoßen. Ob die neue Funktion in einer der nächsten Whatsapp-Versionen tatsächlich zum Einsatz kommt, ist derzeit allerdings noch unklar.

Bildquelle: arivera, thx! (CC0 Public Domain)

https://tarnkappe.info/?flattrss_redirect&id=22603&md5=989fb4df2cf1372c1d4f09f0cdf22944



https://tarnkappe.info/whatsapp-nehmen-firmen-kuenftig-einfluss-auf-adressbuch-der-nutzer/Quelle
Autor: Antonia
Quelle

 

[Novgorod]

@Shodan: verstehe ich nicht wirklich.. scammer werden sich ja wohl kaum als scam-firma eintragen lassen und die verifizierung hat technisch nichts mit dem anzeigenamen zu tun, kann also auch dann erfolgen, wenn der kontakt "mafiöser geldeinfrierer" heißt, solange er auf die account-ID vom echten paypal verweist.. auf der anderen seite kannst du trotzdem einen scammer "paypal" nennen und facebook wird dich nicht davor "warnen", außer dass da eben kein haken dabei ist, so wie vorher auch schon.. also ich sehe da überhaupt keine verbesserung der sicherheit..

 

[BurnerR]

Ich denke sie wollen einfach sowas vermeiden:

[✓] Telekomiker (verifiziert als: Telekom AG)
stattdessen halt:
[✓] Telekom AG

also konsistenz zu Facebook, da hast du ja auch nicht sowas:
[✓] Markiboy (Mark Zuckerberg)
sondern prinzipiell nur:
[✓] Mark Zuckerberg

Also Häkchen immer in Verbindung mit dem realen Namen.

 

[Shodan]

@Novgorod:Meine Annahme war daher, dass ein Scammer sich als Unternehmen mit einem vom Scammer gewählten Namen verifizieren kann. Kann er sich als PayPal verifizieren lassen, ist die Verifizierung sowieso broken.

Für ein IT Bedrohungsszenario muss ich zum Glück nicht zwingend nachweisen, dass ich Wege kenne die Vorbedingungen herzustellen.
Also kann ich als Vorbedingung einfach angeben: Scammer steht mit Namen seiner Bait im Adressbuch. Wie er das geschafft hat? Keine Ahnung. Von mir aus steht da auch Sammy (verified as JS.Spacehero) im Adressbuch. *schulterzuck*
Ganz im Ernst: Adressbücher sind super unzuverlässig. Ich habe irgendwo gelesen, dass installierte Anwendungen da drin rumkritzeln können.

die verifizierung hat technisch nichts mit dem anzeigenamen zu tun

Hier geht es doch darum genau das zu ändern.

Der Anzeigename wird bei der Verifizierung mit geprüft. Entspricht er nicht dem Namen unter dem die verifizierende Instanz den Account kennt, werden die User darüber informiert und eine Lösung wird angeboten, die dafür sorgt, dass diese Information nicht mehr auftaucht.
Wie gesagt: ich würde sogar noch weiter gehen und die User in gelb/orange warnen. Dann ist auch klar warum "Warnung dauerhaft wegignorieren" keine sinnvolle Option ist. Soll der dumme Automat aufhören über die Namensdifferenz zu warnen, und den Usern damit auf den Keks zu gehen, ist die sinnvollste* Lösung den Anzeigenamen beim User zu ändern.

 

[alter_Bekannter]

Ich hab mich schon gefragt wann ich endlich von der Unerträglichen Last befreit werde meine Kontaktlisten selber zu pflegen. Für so einen Nerdscheisse hat doch kein Mensch mit einem richtigen Leben Zeit. Wer mit mehr als nur Heidi und Anna verkeht, dem kann man wohl kaum zumuten die Datensätze alle selber zu pflegen!

Da fragt man sich doch wozu die Leute das alles wissen müssen? planen die einen Einbruch? Da muss schon einen Menge nerdige kriminelle Energie dahinter stecken!
Wer außer einem Irren Stalker muss schon wissen wo alle seine Kontakte wohnen?

Klingt fast so als wären alle hier Terroristen.

 

[Novgorod]

Ich denke sie wollen einfach sowas vermeiden:

[✓] Telekomiker (verifiziert als: Telekom AG)
stattdessen halt:
[✓] Telekom AG

also konsistenz zu Facebook, da hast du ja auch nicht sowas:
[✓] Markiboy (Mark Zuckerberg)
sondern prinzipiell nur:
[✓] Mark Zuckerberg

Also Häkchen immer in Verbindung mit dem realen Namen.

wenn das tatsächlich das motiv ist, sind wir wieder bei den gedankenverbrechen - was ist schlimm daran, kontakte im privaten adressbuch so zu nennen wie man will? auf internetseiten (wie z.b. diesem forum hier) wird grundsätzlich jeder user so angezeigt wie er sich registriert hat und nicht bloß firmen.. davon abgesehen kann sich jeder die anzeige so gestalten wie er will, z.b. mit greasemonkey, css usw., ohne dass der betreiber überhaupt davon wissen kann.. aber wenn der messenger explizit erlaubt, kontakte zu nennen wie man will, wieso soll das nicht für alle kontakte gelten?

Also kann ich als Vorbedingung einfach angeben: Scammer steht mit Namen seiner Bait im Adressbuch. Wie er das geschafft hat? Keine Ahnung. Von mir aus steht da auch Sammy (verified as JS.Spacehero) im Adressbuch. *schulterzuck*

du meinst, der scammer verifiziert sich mit einem phantasienamen und es fällt nicht auf? wenn da nicht dabei steht, als was der kontakt verifiziert ist, macht der haken doch gar keinen sinn, zumal es offenbar keine hürden für scammer gibt, so einen haken zu bekommen .. firefox zeigt z.b. bei bank-webseiten den owner des zertifikats an (und den verifizierer beim drüber-hovern) - wenn whatsapp nicht etwas vergleichbares macht, hat der haken nicht mehr "sicherheitsrelevanz" als bei twitter & co..

 

[Shodan]

du meinst, der scammer verifiziert sich mit einem phantasienamen und es fällt nicht auf?

Genau das meine ich. Es gibt zwar eine kleine Informationszeile unter dem Kontakt, indem der Verifikationsservice auf den Unterschied hinweist, aber die Vermutung liegt nahe, dass User diese irrationalerweise nicht wahrnehmen oder beachtenen.

Ablauf:
1. EVE hat eine Briefkastenfirma mit verifiziertem Account
2. EVE trägt diesen Account mit falschem Namen BOB im Adressbuch von ALICE ein
3. VICTOR informiert ALICE über den falschen Namen und bietet ihr an BOB in EVE umzubenennen

Die neue Funktion ist, dass User mit nur einer Handlung (klick/tap) den Namen im Adressbuch durch den "Verifiziert Als" Namen aus der Sicherheitswarnung des Verifikationsservice ersetzen können.

Screenshots von der neuen Funktion

Der Sicherheitsaspekt entsteht dadurch, dass der User immer den "Verifiziert Als" Namen angezeigt bekommt, wenn sie diese Funktion benutzen. Damit verschwindet dann auch die Warnung, dass der Name nicht bestätigt wurde.
Ist wie Impfen gegen Social Engineering.

User können auch entscheiden den Namen im eigenen Adressbuch nicht zu ersetzen, indem sie die Funktion nicht benutzen. User können den Namen im Adressbuch auch wieder ändern. Dann taucht die Sicherheitswarnung wieder auf, weil der Name nicht mit dem beim Verifikationsservice hinterlegtem Namen übereinstimmt.

 

[Pleitgengeier]

Das ist aber genau falsch herum: WA warnt also wenn das echte Unternehmen nicht "richtig" heißt und nicht wenn hinter dem Namen des Unternehmens jemand anderes steckt.

 

[Shodan]

Naja um überhaupt verifiziert zu sein, muss die Angreiferin einen Namen beim Verifikationsservice hinterlegen.
Der Name der Briefkastenfirma "Kundenservice Ammersheim Ltd." ist zum phishen aber wertlos, die Angreiferin will natürlich PayPal Kundenservice (verifiziert als Kundenservice Ammersheim Ltd.) heißen. Schafft sie es irgendwie in Adressbüchern anderer den falschen Namen "PayPal Kundenservice" einzutragen, z.B. über eine infizierte App, dann wird gewarnt und dem Benutzer angeboten den Kontakt in "Kundenservice Ammersheim Ltd." umzubenennen.

Will man nun gegen so einen PhishingAngriff noch erfolgreich vorgehen, müsste eigentlich die Namen aus allen Adressbüchern und die IDs der Unternehmen bei denen es einen Missmatch gab in einer Datenbank gesammelt und durch ein Expertensystem ausgewertet werden. So ein Intrusion Detection System könnte dann vollautomatisch jemanden benachrichtigen, der sich "Kundenservice Ammersheim Ltd." mal etwas genauer ansieht.


Btw. "wir kopieren dein Adressbuch" ist der Grund warum ich die AGB nicht akzeptiere und WhatsApp nicht benutze.

 

[Novgorod]

Genau das meine ich. Es gibt zwar eine kleine Informationszeile unter dem Kontakt, indem der Verifikationsservice auf den Unterschied hinweist, aber die Vermutung liegt nahe, dass User diese irrationalerweise nicht wahrnehmen oder beachtenen.

dann bringt der "haken" genausoviel "sicherheit" wie auf twitter & co., wie ich bereits gesagt habe.. wenn der user sowieso ignoriert, dass sein "paypal" kontakt von "scam inc." verifiziert ist, wieso sollte es ihn mehr interessieren, wenn facebook ihm sagt, dass sein "paypal" kontakt von "scam inc." verifiziert ist?

 

[BurnerR]

Es wird doch nur eine Verifikationsstelle geben und zwar Whatsapp selber oder habe ich da was missverstanden?


"Mit wem hast du da gesprochen? - Telekom. Sicher? Ja, steht hier so. Du bist aber bei Vodafone. Achso ja, da in grau steht auch Vodafone drunter."
Menschen sind ja völlig blöde, darf man nie unterschätzen. Ein einheitliches, absolut eindeutiges UI das sogar Tante Emma versteht ist schon ganz ok.
Ich kann das schon aus der Sicht absolut nachvollziehen, dass man nicht sowas haben will wie "Firma ABC (verifiziert als Firma ABE)".