• IT-Karriere:
  • Services:

Google Project Zero: Whatsapp-Anruf kann Sicherheitslücke ausnutzen

Googles Project Zero entdeckt eine Sicherheitslücke in Whatsapp. Diese kann mittels eines einfachen Anrufes ausgenutzt werden. Die Lücke wurde von Whatsapp geschlossen.

Artikel veröffentlicht am ,
Lücke in Whatsapp: Wenn verpasste Anrufe ein Sicherheitsfeature werden.
Lücke in Whatsapp: Wenn verpasste Anrufe ein Sicherheitsfeature werden. (Bild: LoboStudioHamburg/CC0 1.0)

Die Sicherheitsforscherin Natalie Silvanovich hat eine Sicherheitslücke in Whatsapp entdeckt. Diese steckt in der Speicherverwaltung der Videokonferenzfunktion des Instant Messengers. Mit einem präparierten RTP-Paket kann eine Memory Corruption herbeigeführt werden. Wird ein Anruf eines Angreifers angenommen, kann dieser die Sicherheitslücke ausnutzen. Silvanovich, die bei Googles Project Zero arbeitet, konnte mit der Sicherheitslücke Whatsapp zum Absturz bringen. Sie habe nicht versucht, die Lücke weiter auszunutzen, diese habe aber erhebliches Potenzial, schreibt sie auf Twitter.

Stellenmarkt
  1. Gasunie Deutschland Transport Services GmbH, Hannover
  2. Greenpeace e.V., Hamburg

Die Sicherheitslücke wurde im August entdeckt und an Whatsapp gemeldet. Das Unternehmen schloss sie Ende September in der Android-Version und Anfang Oktober unter iOS. Mit der Android-Version 2.18.302 des Messengers, sowie der am 1. Oktober veröffentlichten 2.18.93, wurde die Lücke behoben.

Obwohl die Android-Version bereits Ende September aktualisiert wurde, ist das Update noch nicht für alle Android-Nutzer in Googles Play Store verfügbar. Bevor Anrufe mittels Whatsapp entgegengenommen werden, empfiehlt sich eine Überprüfung der installierten Whatsapp-Version. Bisher sind jedoch noch keine Angriffe bekanntgeworden, die die Lücke ausnutzen.

Mit Fuzzing entdeckt und veröffentlicht

Die Lücke wurde mittels Fuzzing entdeckt, bei welchem eine Software mit zufälligen Daten gefüttert wird. Reagiert sie auf eine Eingabe ungewollt, beispielsweise durch einen Absturz, handelt es sich höchstwahrscheinlich um einen Bug.

Googles Project Zero sucht Sicherheitslücken in unterschiedlichster Software und meldet diese an deren Entwickler. Diesen geben ihnen neun Wochen Zeit, die Lücke zu schließen, dann veröffentlicht Project Zero eine Beschreibung der Lücke. Wird sie bereits vor Ablauf der Frist geschlossen, erscheint die Veröffentlichung entsprechend früher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Fusionsreaktor Iter
    Das Eine-Million-Teile-Puzzle in der entscheidenden Phase
  2. Sentry Mode
    Ist Teslas Wächtermodus illegal?
  3. Cirrus7 Incus A300 im Test
    Lautloses Ryzen-Genie aus Deutschland
  4. Deutsche Telekom
    Erstmals LTE-Datentarife von Congstar
  5. Mondflüge, Marsflüge, Raumstation
    Chinesisches Raumforschungsprogramm kommt wieder in Gang
Anzeige
Spiele-Angebote
  2. (-15%) 25,49€
  3. (-15%) 16,99€
  4. 39,99€
Kommentarübersicht
Re: Versionsnummern falsch?
DWolf 14. Okt 2018

Um das Thema mal (weils ja durch sein sollte) zu beenden: Wenn sowas wieder vorkommt...

Kann das von jedem ausgenutzt werden?
kayozz 11. Okt 2018

Wenn ich das richtig sehe, läuft die Kommunikation ja sowieso über die Server von...

Folgen Sie uns
       
Asus Expertbook B9 - Hands on (CES 2020)

Das Expertbook B9 von Asus ist ein sehr leichtes, leistungsfähiges Business-Notebook. Im ersten Kurztest macht das Gerät einen guten Eindruck.

Asus Expertbook B9 - Hands on (CES 2020) Video aufrufen
Streaming
Magenta-TV-Stick im Test: Android-TV-Stick gleicht Magenta-TV-Schwächen nicht aus
Magenta-TV-Stick im Test
Android-TV-Stick gleicht Magenta-TV-Schwächen nicht aus

Eine bequeme Nutzung von Magenta TV verspricht die Telekom mit dem Magenta-TV-Stick. Wir haben uns die Hardware angeschaut und dabei auch einen Blick auf Magenta TV geworfen. Der Dienst hat uns derzeit noch zu viele Schwächen.
Ein Test von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich
Energiewende
Erneuerbare Energien: Windkraft in Luft speichern
Erneuerbare Energien
Windkraft in Luft speichern

In Zukunft wird es mehr Strom aus Windkraft geben. Weil die Anlagen aber nicht kontinuierlich liefern, werden Stromspeicher immer wichtiger. Batterien sind eine Möglichkeit, das britische Startup Highview Power hat jedoch eine andere gefunden: flüssige Luft.
Ein Bericht von Wolfgang Kempkens

  1. Energiewende Norddeutschland wird H
  2. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  3. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
Rollenspiel
30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /