Notebookcheck

WhatsApp und Telegram: Sicherheitslücke geschlossen

WhatsApp: Sicherheitslücke geschlossen
WhatsApp: Sicherheitslücke geschlossen
WhatsApp und Telegram habe eine von Check Point Security entdeckte Sicherheitslücke geschlossen, über die mit Hilfe von HTML-Code die Browser-Version der Messenger attackiert und so die Session übernommen werden konnte.

Der Fehler wurde bereits am 7. März an WhatsApp und Telegram gemeldet. Die Lücken wurden kurz darauf geschlossen, sodass Angreifer sie nach der Veröffentlichung nicht mehr ausnutzen können.

WhatsApp- und Telegram-Nutzern wird empfohlen die Anwendungen so schnell wie möglich zu aktualisieren. Sessions in Browsern sollten gelöscht werden, um potentiell bereits gekaperte Accounts von den Angreifern zu trennen. Dies kann in den Einstellungen beider Messenger getan werden.

Die Sicherheitsexperten haben in zwei Videos den Angriff mit Hilfe eines Bildes bzw. eines Videos demonstriert. In beiden Fällen wird ausgenutzt, dass Dateitypen fehlerhaft validiert werden.

Der Angriff auf WhatsApp wird zum Beispiel unter Einsatz eines Bildlinks, in den der Schad-Code eingebettet ist, bewirkt. Das Opfer klickt auf das Bild, welches sich im Browser öffnet und bringt dadurch den Code zur Ausführung. Über diesen erlangt der Angreifer Zugang zur Session des Gegenübers. Da WhatsApp nur eine Session zulässt, wird ein Hinweis über die Verlagerung des Chats beim Attackierten angezeigt. Da der Angreifer nun Zugang zum WhatsApp-Konto hat, kann er darüber auch auf die für WhatsApp freigegebenen Systemressourcen, wie Bilder, Dokumente und Kontaktdaten zugreifen. Dies ermöglicht hier die Ende-zu-Ende Verschlüsselung , die eigentlich vor fremdem Zugriff schützen soll und die Tatsache, dass die Chats auf alle Clients gespiegelt werden. Jedoch kann der Account nicht permanent gekapert werden, da das Login mit der Telefonnummer verbunden ist. 

Bei Telegram wurde ein ähnlicher Angriff mit Hilfe einer Videodatei durchgeführt. Der Code wird hier in den Header des Videos eingeschleust und das Opfer wird aufgefordert das vollständige Video im Browser zu öffnen. Auch hier kann der Angreifer die Session übernehmen. Da Telegram erlaubt die Chats auf mehreren Geräten gleichzeitig zu nutzen, merkt der Angegriffene von der Übernahme seines Accounts im schlechtesten Fall nichts. Auch kann vollständige Kontrolle über den Account erlangt werden, da hier nicht wie bei WhatsApp eine Telefonnummer nötig ist.

Hat der Angreifer Zugriff auf einen Account, so kann er auch im Namen seines Opfers weiteren Schad-Code an dessen Freunde senden und so auch Zugriff auf deren Accounts bekommen.

Unsere unabhängige Redaktion wird durch Werbung bezahlt. Wir zeigen Lesern die geringst-mögliche Menge an Ads, jedoch sehen Adblock-Nutzer mehr und qualitativ schlechtere Werbung. Bitte schalten Sie Ad-Blocker ab.

Quelle(n)

static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten

Redakteur gesucht!

Du bist ein hochmotivierter und treuer Leser von Notebookcheck und willst mitgestalten? Dann bewirb dich jetzt!
Wir suchen die Besten für unser Team!

Teilen Sie diesen Artikel um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2017-03 > WhatsApp und Telegram: Sicherheitslücke geschlossen
Autor: Florian Schaar, 15.03.2017 (Update: 15.03.2017)
Florian Schaar
Florian Schaar - Editor
Mein erster Computer war ein Commodore 80386 (IBM kompatibel!). Schon auf diesem fing ich an zu programmieren, mit 3D-Modellen Raumschiffe zu bauen und Videos zu schneiden. Seit dem haben mich die Computer nicht mehr losgelassen und ich habe schließlich das Hobby zum Beruf gemacht. Heute entwickle ich Lernspiele für Kinder auf Android und iOS. Bei Notebookcheck schreibe ich Tests für Notebooks und Handys. So kann ich die neusten Geräte ausprobieren, ohne sie kaufen zu müssen.