WhatsApp und Telegram schließen kritische Sicherheitslücke

Check Point hat eine Sicherheitslücke entdeckt, die es Angreifern erlaubt, innerhalb von wenigen Sekunden die vollständige Kontrolle über Konten der Messaging-Dienste WhatsApp und Telegram zu übernehmen. Davon betroffen ist allerdings nur die im Browser ausgeführte Webversion der Anwendungen, nicht aber die mobilen Apps. Beide Firmen haben die Schwachstelle inzwischen beseitigt.

Unbefugte konnten einem Eintrag im Check-Point-Blog zufolge Chats ausspähen und manipulieren, auf die Kontakteliste zugreifen und auch jegliche Inhalte wie Bilder, Videos und Audios abrufen. Die Schwachstelle ließ sich mit jedem beliebigen Browser ausnutzen.

Ein Angreifer musste seinem Opfer lediglich eine manipulierte Datei schicken. Beim Klick auf die Datei führte die Browserversionen von WhatsApp darin enthaltenen Schadcode aus, was dem Angreifer den Zugriff auf alle lokal gespeicherten Daten der Browseranwendung ermöglichte. Um den Browser-Client von Telegram zu kompromittieren, musste die Datei zusätzlich in einem neuen Tab geöffnet werden.

Anschließend war es möglich, die gefährliche Datei an alle Kontakte des Nutzers zu verschicken. Ein geknacktes Konto hätte also als Ausgangspunkt für weitere Angriffe gedient und so zu einer rasanten Verbreitung geführt, wenn auch nur unter Nutzern der Browserversionen von WhatsApp und Telegram.

Den Forschern zufolge führte die von WhatsApp und Telegram benutzte Ende-zu-Ende-Verschlüsselung dazu, dass der Fehler lange Zeit unentdeckt blieb. „Da Nachrichten vom Absender verschlüsselt werden, waren WhatsApp und Telegram blind gegenüber den Inhalten und damit auch nicht in der Lage, den Versand von gefährlichen Inhalten zu verhindern“, so die Forscher.

Um ähnliche Angriffe zu unterbinden, prüfen WhatsApp und Telegram künftig Inhalte vor der Verschlüsselung auf möglichen Schadcode. Trotzdem rät der Sicherheitsforscher Kenneth White, Co-Director des Open Crypto Audit Project (OCAP), von der Nutzung browserbasierter sicherer Messaging-Apps ab. Die von Check Point entdeckte Anfälligkeit sei ein perfektes Beispiel dafür, dass Browser die Sicherheit solcher Messaging-Anwendungen wie WhatsApp und Telegram schwächten.

Check Point meldete den Bug am 7. März. WhatsApp und Telegram patchten ihre Webanwendungen nur kurze Zeit später. Da Nutzer nicht über dieses Update informiert werden, sollten sie ihren Browser neu starten, um sicherzustellen, dass sie die neueste Version der Web-Clients nutzen.

Telegram erhebt indes in seinem Blog schwere Vorwürfe gegen Check Point. Das Unternehmen habe die Schwachstelle nicht korrekt dargestellt. Der Telegram-Client sei nur anfällig, wenn ein Nutzer das von Check Point für den Angriff benutzte Video zuerst starte und danach mit einem rechten Mausklick auf das bereits laufende Video zusätzlich in einem neuen Browser-Tab starte. Zudem habe der Fehler bei Telegram – im Gegensatz zu WhatsApp – nur im Browser Chrome funktioniert. Es seien also nur Nutzer betroffen, die „den seltsamen Trick“ ausgeführt hätten. „Falls Sie, wie wir alle, niemals so etwas getan haben, sind Sie auch nicht betroffen“, schreibt Telegram.

[mit Material von Tom Jowitt, Silicon.co.uk]

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.