Entdeckt wurde die Lücke von Forschern der Sicherheitsfirma Check Point, die mit den Messenger-Entwicklern zusammenarbeiteten, um die Schwachstellen schließen zu lassen. Man meldete Details der Lücke am 8. März an die betroffenen Messenger und WhatsApp behob das Problem innerhalb von 24 Stunden. Telegram benötigte etwas länger, reagierte aber ebenfalls zügig mit einem Fix.

Bei der Lücke handelt es sich um einen Fehler bei der Validierung von Dateitypen. Sowohl WhatsApp als auch Telegram überprüfen beim Hochladen eines Bildes nicht korrekt, ob es sich auch wirklich um eine Bilddatei handelt. So konnten die Sicherheitsforscher als Bilddatei getarnten HTML-Code hochladen, der beim Öffnen ausgeführt wird und die Session der Web-App kapert. Um die Lücke auszunutzen muss ein Angreifer das Opfer also dazu kriegen, eine bösartige Datei in einen Chat zu laden.

Die Ende-zu-Ende-Verschlüsselung beider Messenger ist von dem Angriff nicht betroffen.

Da Dateien auf dem Endgerät Ende-zu-Ende verschlüsselt werden, bevor sie auf die WhatsApp-Server geladen werden, kann WhatsApp ab diesem Punkt nicht mehr in den Inhalt der bösartigen Datei gucken und hat keine Chance, den Schadcode zu entdecken. Telegram könnte dies bei seinen unverschlüsselten Chats zwar prüfen, tat es aber offensichtlich nicht.

Öffnet der Empfänger die Payload des Angreifers im Web-Client des Messengers, wird diese ausgeführt und die Session ist unter der Kontrolle des Angreifers. Von da aus kann er sich dann auf dem selben Wege durch die Kontakte des Opfers hangeln – allerdings gelingt der Angriff nur, wenn der Empfänger das angebliche Bild im Web-Interface öffnet.

Wer lediglich die Smartphone-Apps der beiden Messenger benutzt, ist nach aktuellem Kenntnisstand auf der sicheren Seite. Wer in der Vergangenheit WhatsApp Web oder Telegram Web genutzt hat, besitzt auf dem Smartphone unter Umständen nach wie vor eine authentifizierte Session mit einem Browser.(Quelle:heise)

Related Posts

Hauptseite

iPhone 8 und X sind die schnellsten Smartphones (mit grossem Abstand)

Apples iPhone 8, 8 Plus und iPhone X sind mittlerweile offiziell im Ranking von Geekbench aufgetaucht. In dieser Liste rangieren die Geräte deutlich vor der Konkurrenz von Huawei (P10), Xiaomi (Mi 6) oder Samsung (Galaxy Read more…

Hauptseite

Mehr 20 Millionen Android-Smartphones mit Malware infiziert

Sicherheitsforscher von Check Point haben den jetzigen Fall aufgedeckt. Es handelt sich hierbei um eine Neuauflage der „ExpensiveWall“-Malware, die bereits zu Beginn des Jahres für Aufsehen sorgte. Umso verwunderlicher ist es, dass Googles Pay Protect Read more…

Hauptseite

Apple hat iOS 11, Wachts OS4 veröffentlicht

Die 10 wichtigsten Neuerungen in iOS 11 Kontrollzentrum Wohl eine der auffälligsten Neuerungen betrifft das Kontrollzentrum unter iOS 11. Sowohl das Design wurde stark verändert, als auch einzelne Funktionen hinzugefügt. So lässt sich zum Beispiel Read more…