Die schwerwiegenden Sicherheitslecks, die der Sicherheitsforscher Kasif Dekel von Check Point entdeckt und die WhatsApp jetzt in seinem Web-Client beseitigt hat, ermöglichten eine Remotecodeausführung. Ein Angreifer musste Nutzer des Messengers nur dazu bringen, eine vermeintlich harmlose vCard zu öffnen, die jedoch tatsächlich Schadcode enthalten und Malware auf einem Windows-System installieren konnte.
Wie Check Point in einem Blogbeitrag ausführt, gingen die Anfälligkeiten auf eine „fehlerhafte“ Filterung von Kontaktdateien wie vCards zurück – einem Format, das oft für elektronische Visitenkarten verwendet wird – und einer mangelnden Validierung von vCard-Formaten oder Dateiinhalten. Durch das Abfangen von an die WhatsApp-Server gesendete XMPP-Anfragen (Extensible Messaging Presence Protocol), gelang es Dekel nach Änderung der Dateiendung Schadcode in eine eigentlich zur Übermittlung von Kontakdetails gedachte vCard-Datei einzuschleusen und zu verschicken. Um die Lücken auszunutzen, reichte es dem Sicherheitsforscher zufolge aus, die mit dem Nutzerkonto verknüpfte Telefonnummer zu kennen.
Der Web-Client von WhatsApp erlaubte den Empfang manipulierter vCard-Dateien (Bild: Check Point).
Nach eigenen Angaben hat Check Point WhatsApp am 21. August über die Anfälligkeiten in den Web-Client-Versionen bis 0.1.4481 informiert. Die Facebook-Tochter bestätigte zwei Tage später das Problem und entwickelte einen vorläufigen Fix. Der Patch wurde am 27. August serverseitig eingespielt und die betreffende Funktion gesperrt.
Glücklicherweise habe WhatsApp schnell und verantwortungsvoll reagiert, indem es seinen Web-Client absicherte, kommentierte Oded Vanunu, Security Research Group Manager bei Check Point. „Wir loben WhatsApp für sein umgehendes Handeln und wünschten, mehr Hersteller würden Sicherheitsprobleme auf diese professionelle Weise handhaben.“
Von den rund 900 Millionen aktiven WhatsApp-Nutzern verwenden etwa 200 Millionen neben der Mobilanwendung auch den Web-Client. Ob die inzwischen geschlossenen Lücken tatsächlich ausgenutzt wurden, ist nicht bekannt.
Der webbasierte WhatsApp-Client erlaubt den Zugriff auf den Messaging-Dienst im Browser auf dem Desktop. Er funktioniert mit Google Chrome, Mozilla Firefox, Opera und Safari (ab Mac OS X 10.8) – die Microsoft-Browser Internet Explorer und Edge werden bisher nicht unterstützt. Nutzen können ihn Anwender von Android, Windows Phone, Blackberry OS, Nokia S60 und S40 sowie seit Kurzem auch iOS. Das Smartphone muss dabei konstant mit dem Internet verbunden bleiben.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu WhatsApp hat kritische Lücken im Web-Client geschlossen
Vielen dank für Ihren Kommentar.
Ihre Kommentar wurde gespeichert und wartet auf Moderation.