Der Messenger-Dienst hatte erneut mit einer schweren Sicherheitslücke zu kämpfen. Durch das Versenden manipulierter Dateien konnten Angreifer WhatsApp-Konten übernehmen. Auch der WhatsApp-Konkurrent Telegram war betroffen. Mittlerweile wurde die WhatsApp Sicherheitslücke geschlossen.
Experten der Check Point Software Technologies Ltd. waren in der Lage, die Schwachstellen in den Messenger-Diensten zu entdecken, so dass WhatsApp und Telegram diese nun beheben konnten. Die Sicherheitslücke wurde nur bei den Browser-Versionen festgestellt und ausgenutzt. WhatsApp für PC ist nun aber wieder sicher.
Ausnutzen der WhatsApp Sicherheitslücke
Der Angriff wird mit dem Versenden einer infizierten Datei, beispielsweise einem Foto oder einem Video, gestartet. Ausgelöst wird die Übernahme des Accounts erst durch das Öffnen dieser Datei in der Webversion der App. Daraufhin erhält der Hacker Zugriff auf den lokalen Speicher und kann Nutzerdaten auslesen. Bei Telegram muss die Datei in einem neuen Tab geöffnet werden, bevor der Angreifer auf die Daten zugreifen kann.
WhatsApp Web Übernahme
Telegram Web Übernahme
Somit waren gesendete sowie empfangene Nachrichten, Fotos, Videos und andere geteilte Dateien nicht mehr vor Fremdzugriff geschützt. Außerdem war es den Angreifern möglich, infizierte Dateien an Personen aus der Kontaktliste zu schicken, wodurch die Gefahr einer schnelleren Verbreitung natürlich deutlich erhöht wurde.
“Thankfully, WhatsApp and Telegram responded quickly and responsibly to deploy the mitigation against exploitation of this issue in all web clients.”
Oded Vanunu, Head of Products Vulnerability Research, Check Point
Bereits am 7. März hat Check Point Telegram und WhatsApp auf die Probleme aufmerksam gemacht. Aufgrund der schnellen Reaktion der Unternehmen konnten alle Browser-Versionen wieder abgesichert werden. Den Nutzern wird nahegelegt, die App-Version auf dem neusten Stand zu halten.
Bei der Web-Version geht dies denkbar einfach – ein Neustart des Browsers reicht aus. Schon im August 2015 war es Check Point, die eine Sicherheitslücke durch vCards in WhatsApp entdeckten – damals wurden elektronische Visitenkarten infiziert und verschickt.
Text-Status komm wieder
Nachdem diese WhatsApp Sicherheitslücke nun geschlossen wurde, hat das Unternehmen angekündigt, dass überdies der Text-Status in die App zurückkehren wird. Erst vor wenigen Wochen wurde dieser durch einen Foto- und Videostatus ersetzt, dessen Inhalt nach 24 Stunden wieder gelöscht wird. Da zahlreiche Nutzer die Funktion jedoch vermissen, kündigte die Facebook-Tochter an, dass in Kürze wieder reine Texte als Status anzulegen sind. Android-Nutzer werden in der nächsten Woche mit einem Update versorgt, iOS folgt kurze Zeit später.
In Zukunft wird der Status neben dem Profilnamen angezeigt. Zusätzlich bleibt die neue Status-Anzeige bestehen und soll erweitert werden, damit die Nutzer weiterhin die Möglichkeit haben, auf diesem Weg Fotos, GIFs und Videos zu teilen. Trotz mittlerweile über eine Milliarde Nutzer muss auch WhatsApp seine Technik stetig weiterentwickeln.
Kommentar hinterlassen