Sicherheitslücken in Desktop-App von WhatsApp und Telegram

Entdeckt wurde die Lücke von Forschern der Sicherheitsfirma Check Point, die mit den Messenger-Entwicklern zusammenarbeiteten, um die Schwachstellen schließen zu lassen. Man meldete Details der Lücke am 8. März an die betroffenen Messenger und WhatsApp behob das Problem innerhalb von 24 Stunden. Telegram benötigte etwas länger, reagierte aber ebenfalls zügig mit einem Fix.

Bei der Lücke handelt es sich um einen Fehler bei der Validierung von Dateitypen. Sowohl WhatsApp als auch Telegram überprüfen beim Hochladen eines Bildes nicht korrekt, ob es sich auch wirklich um eine Bilddatei handelt. So konnten die Sicherheitsforscher als Bilddatei getarnten HTML-Code hochladen, der beim Öffnen ausgeführt wird und die Session der Web-App kapert. Um die Lücke auszunutzen muss ein Angreifer das Opfer also dazu kriegen, eine bösartige Datei in einen Chat zu laden.

Die Ende-zu-Ende-Verschlüsselung beider Messenger ist von dem Angriff nicht betroffen.

Da Dateien auf dem Endgerät Ende-zu-Ende verschlüsselt werden, bevor sie auf die WhatsApp-Server geladen werden, kann WhatsApp ab diesem Punkt nicht mehr in den Inhalt der bösartigen Datei gucken und hat keine Chance, den Schadcode zu entdecken. Telegram könnte dies bei seinen unverschlüsselten Chats zwar prüfen, tat es aber offensichtlich nicht.

Öffnet der Empfänger die Payload des Angreifers im Web-Client des Messengers, wird diese ausgeführt und die Session ist unter der Kontrolle des Angreifers. Von da aus kann er sich dann auf dem selben Wege durch die Kontakte des Opfers hangeln – allerdings gelingt der Angriff nur, wenn der Empfänger das angebliche Bild im Web-Interface öffnet.

Wer lediglich die Smartphone-Apps der beiden Messenger benutzt, ist nach aktuellem Kenntnisstand auf der sicheren Seite. Wer in der Vergangenheit WhatsApp Web oder Telegram Web genutzt hat, besitzt auf dem Smartphone unter Umständen nach wie vor eine authentifizierte Session mit einem Browser.(Quelle:heise)

Posted in Beartung, Verkauf, Support, Hauptseite, IT-Sicherheit, Mobiles Arbeiten and tagged , , .