Google Project Zero: Whatsapp-Anruf kann Sicherheitslücke ausnutzen

Googles Project Zero entdeckt eine Sicherheitslücke in Whatsapp. Diese kann mittels eines einfachen Anrufes ausgenutzt werden. Die Lücke wurde von Whatsapp geschlossen.

Artikel veröffentlicht am ,
Lücke in Whatsapp: Wenn verpasste Anrufe ein Sicherheitsfeature werden.
Lücke in Whatsapp: Wenn verpasste Anrufe ein Sicherheitsfeature werden. (Bild: LoboStudioHamburg/CC0 1.0)

Die Sicherheitsforscherin Natalie Silvanovich hat eine Sicherheitslücke in Whatsapp entdeckt. Diese steckt in der Speicherverwaltung der Videokonferenzfunktion des Instant Messengers. Mit einem präparierten RTP-Paket kann eine Memory Corruption herbeigeführt werden. Wird ein Anruf eines Angreifers angenommen, kann dieser die Sicherheitslücke ausnutzen. Silvanovich, die bei Googles Project Zero arbeitet, konnte mit der Sicherheitslücke Whatsapp zum Absturz bringen. Sie habe nicht versucht, die Lücke weiter auszunutzen, diese habe aber erhebliches Potenzial, schreibt sie auf Twitter.

Stellenmarkt
  1. ERP-Anwendungsentwickler und -betreuer (m/w/d)
    Th. Geyer GmbH & Co. KG, Höxter
  2. Head of ML Operations (m/f/x)
    UnternehmerTUM GmbH, München
Detailsuche

Die Sicherheitslücke wurde im August entdeckt und an Whatsapp gemeldet. Das Unternehmen schloss sie Ende September in der Android-Version und Anfang Oktober unter iOS. Mit der Android-Version 2.18.302 des Messengers, sowie der am 1. Oktober veröffentlichten 2.18.93, wurde die Lücke behoben.

Obwohl die Android-Version bereits Ende September aktualisiert wurde, ist das Update noch nicht für alle Android-Nutzer in Googles Play Store verfügbar. Bevor Anrufe mittels Whatsapp entgegengenommen werden, empfiehlt sich eine Überprüfung der installierten Whatsapp-Version. Bisher sind jedoch noch keine Angriffe bekanntgeworden, die die Lücke ausnutzen.

Mit Fuzzing entdeckt und veröffentlicht

Die Lücke wurde mittels Fuzzing entdeckt, bei welchem eine Software mit zufälligen Daten gefüttert wird. Reagiert sie auf eine Eingabe ungewollt, beispielsweise durch einen Absturz, handelt es sich höchstwahrscheinlich um einen Bug.

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

Googles Project Zero sucht Sicherheitslücken in unterschiedlichster Software und meldet diese an deren Entwickler. Diesen geben ihnen neun Wochen Zeit, die Lücke zu schließen, dann veröffentlicht Project Zero eine Beschreibung der Lücke. Wird sie bereits vor Ablauf der Frist geschlossen, erscheint die Veröffentlichung entsprechend früher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Apple
Macbook Pro bekommt Notch und Magsafe

Apple hat das Macbook Pro in neuem Gehäuse, mit neuem SoC, einem eigenen Magsafe-Ladeport und Mini-LED-Display mit Kerbe vorgestellt.

Apple: Macbook Pro bekommt Notch und Magsafe
Artikel
  1. Displayreinigung: Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste
    Displayreinigung
    Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste

    Fast unbemerkt hat Apple den eigentlichen Star des Events von Mitte Oktober 2021 in seinen Onlineshop aufgenommen: ein Poliertuch.

  2. In-Ears: Apple stellt Airpods 3 vor
    In-Ears
    Apple stellt Airpods 3 vor

    Apple hat auf seinem Event die Airpods 3 vorgestellt, die den Airpods 3 Pro sehr ähnlich sehen - allerdings ohne Geräuschunterdrückung.

  3. 5 US-Dollar: Apple bietet günstigeres Music-Abo an
    5 US-Dollar
    Apple bietet günstigeres Music-Abo an

    Apple hat ein preiswerteres Apple-Music-Abo angekündigt, das aber nur mit dem Sprachassistenten Siri gesteuert werden kann.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Horror-Filme reduziert • MwSt-Aktion bei MM: Rabatte auf viele Produkte [Werbung]
    •  /