Wer in Facebooks Instant-Messaging-Dienst WhatsApp eine Gruppe gründet beziehungsweise Gruppenadmin ist, kann neue Mitglieder mittels eines Einladungslinks hinzufügen. Den erstellten Link schickt man gezielt an die gewünschten Gruppenteilnehmer.

Anderen Personen sollten solche Links, so die naheliegende Annahme, nicht zugänglich sein. Und doch waren sie es bis vor kurzem: Der Journalist Jordan Wildon entdeckte zufällig, dass mehrere Hunderttausend Einladungslinks via Google-Suche auffindbar, also von der Suchmaschine indexiert worden waren.

Auf das Sicherheitsproblem wies Wildon vergangene Woche via Twitter hin. Da die Einladungslinks stets mit dem Teilstring chat.whatsapp.com gefolgt von einer Zeichenkette beginnen, waren sie mittels Suchanfragen wie "site:chat.whatsapp.com" leicht auffindbar.

Die Sicherheitsforscherin Jane Wong berichtete von rund 470.000 Suchtreffern. Wer einen solchen Einladungslink geöffnet hätte, hätte nicht nur den Chatverlauf anschauen, sondern angesichts der "Einladung" auch der Gruppe beitreten können.

Sicherheitsmangel oder Feature?

Auf Wildons Tweet hin meldete sich ein weiterer Nutzer, der das Problem eigenen Angaben zufolge bereits Anfang November 2019 an Facebook gemeldet hatte. Der Konzern hatte darauf offenbar erwidert, dass es sich bei den allgemein zugänglichen Links um eine "absichtliche Produktentscheidung" handele. Das Unternehmen sah das Problem somit nicht bei sich selbst, sondern bei Google beziehungsweise der Indexierung durch die Suchmaschine (und auch Suchmaschinen im Allgemeinen), auf die Facebook nur begrenzt Einfluss nehmen könne.

Sicherheitsforscherin Wong wiederum wies darauf hin, dass Facebook durch entsprechende Angaben in der Datei robots.txt auf den WhatsApp-Servern ja durchaus Einfluss darauf nehmen könne, welche Seiten indexiert würden.

Google-Suche liefert keine Treffer mehr – andere Suchmaschinen schon

Wer letztendlich dafür gesorgt hat, dass die Suche nach "site:chat.whatsapp.com" jetzt bei Google keine Ergebnisse mehr zurückliefert, ist nicht bekannt. In jedem Fall wurde dem Sicherheits- und Privacy-Bedürfnis der (wohl allermeisten) Nutzer trotz "It's not a bug, it's a feature"-Einstellung Rechnung getragen.

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Ein Leser hat uns allerdings via Facebook darauf hingewiesen, dass eine entsprechende Suche mit anderen Suchmaschinen als Google (etwa mit Bing oder Yandex) immer noch zahlreiche Einladungslinks zu Gruppen zurückliefert. Ein kurzer Test unsererseits bestätigte dies. Somit liegt die Vermutung nahe, dasss Google, nicht aber Facebook/WhatsApp Anpassungen hinsichtlich der Auffindbarkeit vorgenommen hat.

Update 24.02.20, 14:05: Zwischenüberschrift und letzten Absatz zu anderen Suchmaschinen eingefügt. Einleitungstext entsprechend angepasst. (ovw)