Google Project Zero: Whatsapp-Anruf kann Sicherheitslücke ausnutzen

Googles Project Zero entdeckt eine Sicherheitslücke in Whatsapp. Diese kann mittels eines einfachen Anrufes ausgenutzt werden. Die Lücke wurde von Whatsapp geschlossen.

Artikel veröffentlicht am ,
Lücke in Whatsapp: Wenn verpasste Anrufe ein Sicherheitsfeature werden.
Lücke in Whatsapp: Wenn verpasste Anrufe ein Sicherheitsfeature werden. (Bild: LoboStudioHamburg/CC0 1.0)

Die Sicherheitsforscherin Natalie Silvanovich hat eine Sicherheitslücke in Whatsapp entdeckt. Diese steckt in der Speicherverwaltung der Videokonferenzfunktion des Instant Messengers. Mit einem präparierten RTP-Paket kann eine Memory Corruption herbeigeführt werden. Wird ein Anruf eines Angreifers angenommen, kann dieser die Sicherheitslücke ausnutzen. Silvanovich, die bei Googles Project Zero arbeitet, konnte mit der Sicherheitslücke Whatsapp zum Absturz bringen. Sie habe nicht versucht, die Lücke weiter auszunutzen, diese habe aber erhebliches Potenzial, schreibt sie auf Twitter.

Stellenmarkt
  1. Senior Shopware Entwickler (m/w/d)
    BUCS IT GmbH, Wuppertal
  2. Akademische Mitarbeiterin / Akademischer Mitarbeiter (w/m/d) der Fachrichtung Elektrotechnik, ... (m/w/d)
    Karlsruher Institut für Technologie (KIT) Campus Nord, Eggenstein-Leopoldshafen
Detailsuche

Die Sicherheitslücke wurde im August entdeckt und an Whatsapp gemeldet. Das Unternehmen schloss sie Ende September in der Android-Version und Anfang Oktober unter iOS. Mit der Android-Version 2.18.302 des Messengers, sowie der am 1. Oktober veröffentlichten 2.18.93, wurde die Lücke behoben.

Obwohl die Android-Version bereits Ende September aktualisiert wurde, ist das Update noch nicht für alle Android-Nutzer in Googles Play Store verfügbar. Bevor Anrufe mittels Whatsapp entgegengenommen werden, empfiehlt sich eine Überprüfung der installierten Whatsapp-Version. Bisher sind jedoch noch keine Angriffe bekanntgeworden, die die Lücke ausnutzen.

Mit Fuzzing entdeckt und veröffentlicht

Die Lücke wurde mittels Fuzzing entdeckt, bei welchem eine Software mit zufälligen Daten gefüttert wird. Reagiert sie auf eine Eingabe ungewollt, beispielsweise durch einen Absturz, handelt es sich höchstwahrscheinlich um einen Bug.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Googles Project Zero sucht Sicherheitslücken in unterschiedlichster Software und meldet diese an deren Entwickler. Diesen geben ihnen neun Wochen Zeit, die Lücke zu schließen, dann veröffentlicht Project Zero eine Beschreibung der Lücke. Wird sie bereits vor Ablauf der Frist geschlossen, erscheint die Veröffentlichung entsprechend früher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Pakete: DHL-Preiserhöhung könnte Amazon Prime verteuern
    Pakete
    DHL-Preiserhöhung könnte Amazon Prime verteuern

    DHL Paket erhöht die Preise für Geschäftskunden. Das könnte Auswirkungen auf den Preis von Amazon Prime haben.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /