WhatsApp und Telegram schließen kritische Sicherheitslücke

Manipulierte Dateien geben Hackern unter Umständen Zugriff auf Kontakte und Dateien eines Nutzers. Betroffen sind allerdings nur die Web-Clients von WhatsApp und Telegram. Letzteres wirft dem Sicherheitsanbieter Check Point vor, die Details der Schwachstelle falsch darzustellen.

Check Point hat eine Sicherheitslücke entdeckt, die es Angreifern erlaubt, innerhalb von wenigen Sekunden die vollständige Kontrolle über Konten der Messaging-Dienste WhatsApp und Telegram zu übernehmen. Davon betroffen ist allerdings nur die im Browser ausgeführte Webversion der Anwendungen, nicht aber die mobilen Apps. Beide Firmen haben die Schwachstelle inzwischen beseitigt.

Bug entdeckt (Bild: Shutterstock)Unbefugte konnten einem Eintrag im Check-Point-Blog zufolge Chats ausspähen und manipulieren, auf die Kontakteliste zugreifen und auch jegliche Inhalte wie Bilder, Videos und Audios abrufen. Die Schwachstelle ließ sich mit jedem beliebigen Browser ausnutzen.

Ein Angreifer musste seinem Opfer lediglich eine manipulierte Datei schicken. Beim Klick auf die Datei führte die Browserversionen von WhatsApp darin enthaltenen Schadcode aus, was dem Angreifer den Zugriff auf alle lokal gespeicherten Daten der Browseranwendung ermöglichte. Um den Browser-Client von Telegram zu kompromittieren, musste die Datei zusätzlich in einem neuen Tab geöffnet werden.

Anschließend war es möglich, die gefährliche Datei an alle Kontakte des Nutzers zu verschicken. Ein geknacktes Konto hätte also als Ausgangspunkt für weitere Angriffe gedient und so zu einer rasanten Verbreitung geführt, wenn auch nur unter Nutzern der Browserversionen von WhatsApp und Telegram.

Den Forschern zufolge führte die von WhatsApp und Telegram benutzte Ende-zu-Ende-Verschlüsselung dazu, dass der Fehler lange Zeit unentdeckt blieb. „Da Nachrichten vom Absender verschlüsselt werden, waren WhatsApp und Telegram blind gegenüber den Inhalten und damit auch nicht in der Lage, den Versand von gefährlichen Inhalten zu verhindern“, so die Forscher.

Um ähnliche Angriffe zu unterbinden, prüfen WhatsApp und Telegram künftig Inhalte vor der Verschlüsselung auf möglichen Schadcode. Trotzdem rät der Sicherheitsforscher Kenneth White, Co-Director des Open Crypto Audit Project (OCAP), von der Nutzung browserbasierter sicherer Messaging-Apps ab. Die von Check Point entdeckte Anfälligkeit sei ein perfektes Beispiel dafür, dass Browser die Sicherheit solcher Messaging-Anwendungen wie WhatsApp und Telegram schwächten.

Check Point meldete den Bug am 7. März. WhatsApp und Telegram patchten ihre Webanwendungen nur kurze Zeit später. Da Nutzer nicht über dieses Update informiert werden, sollten sie ihren Browser neu starten, um sicherzustellen, dass sie die neueste Version der Web-Clients nutzen.

Telegram erhebt indes in seinem Blog schwere Vorwürfe gegen Check Point. Das Unternehmen habe die Schwachstelle nicht korrekt dargestellt. Der Telegram-Client sei nur anfällig, wenn ein Nutzer das von Check Point für den Angriff benutzte Video zuerst starte und danach mit einem rechten Mausklick auf das bereits laufende Video zusätzlich in einem neuen Browser-Tab starte. Zudem habe der Fehler bei Telegram – im Gegensatz zu WhatsApp – nur im Browser Chrome funktioniert. Es seien also nur Nutzer betroffen, die „den seltsamen Trick“ ausgeführt hätten. „Falls Sie, wie wir alle, niemals so etwas getan haben, sind Sie auch nicht betroffen“, schreibt Telegram.

WEBINAR

What´s next – Storage & Co: Die Enterprise Cloud!

Lernen Sie in diesem Audio-Webinar die Bausteine einer Enterprise Cloud Plattform kennen. Erfahren Sie, wie Sie maximale Freiheit und Flexibilität für Ihre Anwendungen erzielen. Mehr Outcome mit weniger Input erzielen – konkrete Anwendungsbeispiele.

[mit Material von Tom Jowitt, Silicon.co.uk]

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Browser, Messenger, Security, Sicherheit, Telegram, WhatsApp

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu WhatsApp und Telegram schließen kritische Sicherheitslücke

Kommentar hinzufügen
  • Am 16. März 2017 um 9:33 von dieterdreist

    Soso, die Inhalte werden dann also vor dem Verschlüsseln nochmal kurz „geprüft“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *