WhatsApp schließt kritische Lücken in seinem Web-Client

WhatsApp hat schwerwiegende Sicherheitslecks in seinem Web-Client beseitigt, die Remotecodeausführung ermöglichten. Dazu musste ein Angreifer Nutzer des Messengers nur dazu bringen, eine vermeintlich harmlose vCard zu öffnen, die jedoch tatsächlich Schadcode enthalten und Malware auf einem Windows-System installieren konnte. Entdeckt hat die Schwachstellen der Sicherheitsforscher Kasif Dekel von Check Point.

Die Anfälligkeiten gingen auf eine „fehlerhafte“ Filterung von Kontaktdateien wie vCards zurück – einem Format, das oft für elektronische Visitenkarten verwendet wird – und einer mangelnden Validierung von vCard-Formaten oder Dateiinhalten, wie Check Point in einem Blogbeitrag ausführt. Durch das Abfangen von an die WhatsApp-Server gesendete XMPP-Anfragen (Extensible Messaging Presence Protocol), gelang es Dekel nach Änderung der Dateiendung Schadcode in eine eigentlich zur Übermittlung von Kontakdetails gedachte vCard-Datei einzuschleusen und zu verschicken. Um die Lücken auszunutzen, reichte es dem Sicherheitsforscher zufolge aus, die mit dem Nutzerkonto verknüpfte Telefonnummer zu kennen.

Check Point hat WhatsApp nach eigenen Angaben am 21. August über die Anfälligkeiten in den Web-Client-Versionen bis 0.1.4481 informiert. Die Facebook-Tochter bestätigte zwei Tage später das Problem und entwickelte einen vorläufigen Fix. Der Patch wurde am 27. August serverseitig eingespielt und die betreffende Funktion gesperrt.

Glücklicherweise habe WhatsApp schnell und verantwortungsvoll reagiert, indem es seinen Web-Client absicherte, kommentierte Oded Vanunu, Security Research Group Manager bei Check Point. „Wir loben WhatsApp für sein umgehendes Handeln und wünschten, mehr Hersteller würden Sicherheitsprobleme auf diese professionelle Weise handhaben.“

Von den rund 900 Millionen aktiven WhatsApp-Nutzern verwenden etwa 200 Millionen neben der Mobilanwendung auch den Web-Client. Ob die inzwischen geschlossenen Lücken tatsächlich ausgenutzt wurden, ist nicht bekannt.

Der webbasierte WhatsApp-Client erlaubt den Zugriff auf den Messaging-Dienst im Browser auf dem Desktop. Er funktioniert mit Google Chrome, Mozilla Firefox, Opera und Safari (ab Mac OS X 10.8) – die Microsoft-Browser Internet Explorer und Edge werden bisher nicht unterstützt. Nutzen können ihn Anwender von Android, Windows Phone, Blackberry OS, Nokia S60 und S40 sowie seit Kurzem auch iOS. Das Smartphone muss dabei konstant mit dem Internet verbunden bleiben.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de