6. Februar 2020, 16:21 Uhr | Lesezeit: 3 Minuten
Ein US-amerikanischer Sicherheitsforscher hat eine große Sicherheitslücke bei der Desktop-App des beliebten Messengers WhatsApp entdeckt!
WhatsApp ist einer der beliebtesten Messenger der Welt. Mit dem Chat-Programm kann man nicht nur über das Smartphone Nachrichten, Fotos, Videos etc. versenden. Mit WhatsApp kann man das alles auch über den PC machen, indem man die Desktop-App mit der Version auf dem Handy koppelt.
Nun hat der Sicherheitsforscher und JavaScript-Spezialist Gal Weizman, der bei der US-Firma PerimeterX arbeitet, eine nicht unerhebliche Schwachstelle in der Sicherheit von WhatsApp Web entdeckt.
Veraltete Version führt zu Sicherheitslücke bei WhatsApp Web
Betroffen sind Nutzer, die WhatsApp Web noch in einer inzwischen veralteten Version vor 0.3.9309 gekoppelt mit der iPhone-App vor der Version 2.20.10 nutzen. Inzwischen hat sogar Mutterkonzern Facebook über seinen Security-Service eine Warnung herausgegeben. Dort heißt es: „Eine Sicherheitsanfälligkeit in WhatsApp Desktop in Verbindung mit WhatsApp für das iPhone ermöglicht Cross-Site-Scripting und lokales Lesen von Dateien. Um die Sicherheitsanfälligkeit auszunutzen, muss das Opfer in einer speziell gestalteten Textnachricht auf eine Linkvorschau klicken.“
Das sieht dann wohl so aus, dass Angreifer durch die Lücke sowohl den Text als die URL einer versendeten Nachricht ändern können. Durch den schädlichen JavaScript-Code wird der Nutzer dann auf schädliche Webseiten weitergeleitet. Besonders gefährlich ist daran, dass die Angreifer gezielt in einer eigentlich harmlosen Nachricht einen manipulierten Code verstecken können.
Angreifer bekommen Zugriff auf Computer der Opfer
Klickt ein Opfer auf so einen manipulierten Link, bekommen die Hacker Zugriff auf den Computer, auf dem die Desktop-Version von WhatsApp läuft. Wie Weizman auf dem Tech-Blog PermeterX erklärt, können so Daten der Opfer ausgelesen und im schlimmsten weitere Schadsoftware auf dem PC platziert werden.
Laut Weizman ist die nicht mehr aktuelle Ausführung von Open-Source-Framework Electron Auslöser der Sicherheitslücke. Dieselbe Code-Basis nutz auch Google Chrome, dort existiert die Sicherheitslücke allerdings nicht. WhatsApp hätte, so Weizman, nicht rechtzeitig reagiert und seine Anwendung an die neue Version von Electron angepasst.
BSI warnt Sicherheitslücke in Samsung-Smartphones – Nutzer sollten handeln!
Schnell updaten! Schwere Sicherheitslücke in WhatsApp-Gifs entdeckt
Kritik am Messenger Die 4 größten Whatsapp-Sicherheitslücken – und wie man sie schließt
Nutzer sollten unbedingt WhatsApp Web updaten
Inzwischen wurde sicherheitstechnisch nachgebessert. Potenzielle Opfer, die WhatsApp Web und ein iPhone mit veralteter Version nutzen, sollten unbedingt die Desktop-App updaten. Generell müssen beide Ausführungen separat von Nutzern auf den neuesten Stand gebracht werden: Sowohl am Smartphone als auch am PC. Das lohnt sich generell immer, da der Angriff wieder einmal bewiesen hat, dass auch große Unternehmen wie Facebook nicht gegen Sicherheitslücken immun sind!
