Abo
  • Services:

Schadcode: Patch schließt Sicherheitslücke in Whatsapp-Webclient

In vCards eingebetteter Schadcode lässt sich unbemerkt über den Whatsapp-Webclient einschleusen. Die Whatsapp-Entwickler haben die Funktion bereits deaktiviert.

Artikel veröffentlicht am ,
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen.
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen. (Bild: Checkpoint)

Aufgrund einer unzureichenden Filterung beim Austausch von Kontaktdaten über das vCard-Format kann beliebiger Schadcode über den Webclient von Whatsapp eingeschleust werden. Das IT-Sicherheitsunternehmen Checkpoint hat Whatsapp bereits informiert. Der Import von vCards wurde in allen Versionen der Clients deaktiviert. Nutzer sollten die Web-App im Browser neu laden, damit der bereitgestellte Patch greift. Die Version für mobile Geräte ist nicht betroffen. Von ihr aus lässt sich aber Schadcode verteilen. Ein Angreifer benötigt lediglich die Telefonnummer eines Opfers.

Stellenmarkt
  1. MTU Friedrichshafen GmbH, Friedrichshafen
  2. MediaNet GmbH Netzwerk- und Applikations-Service, Freiburg

Kontaktdaten können in Whatsapp über das vCard-Format verteilt werden. In der Web-App lassen sie sich dann per Mausklick importieren. Da Whatsapp aber bislang keine ausreichende Filterung solcher vCard-Dateien vornimmt, konnte dort Schadcode etwa in Form von Batch-Dateien eingebettet werden. Sie lassen sich einfach im Namensfeld einer zu versendenden vCard einbetten - samt der Dateiendung BAT, die Windows dann ausführt. Klickt ein Opfer auf eine empfangene vCard, führt Windows den eingebetteten Code aus.

Exe-Dateien im vCard-Format

Durch gezielte Manipulation des von Whatsapp angepassten Extensible-Messaging-and-Presence-Protokolls (XMPP) könnten Angreifer sogar ausführbare Exe-Dateien als vCard-Datei tarnen und die Dateiendung verschleiern, so dass diese dem Opfer verborgen bleibt. Grund ist eine unzureichende Prüfung der Inhalte von vCards durch Whatsapp.

Da die Schwachstelle vergleichsweise einfach auszunutzen sei, könnten Betrüger und Cyberkriminelle beispielsweise Ransomware oder andere Malware gezielt verbreiten. Ausgefeilte Exploits für verschiedene Browserversionen seien nicht nötig. Die so ausgeführte Malware läuft aber lediglich mit Benutzerrechten.

Checkpoint hat Whatsapp am 21. August 2015 über die Schwachstelle informiert. Bereits am 27. August wurde ein Fix bereitgestellt.



Anzeige
Top-Angebote
  1. mit Gutschein: ASUSZONE (u. a. VivoBook 15.6" FHD mit i3-5005U/8 GB/128 GB für 270,74€ statt...
  2. (u. a. Canon EOS 200D mit Objektiv 18-55 mm für 477€)
  3. 12,49€
  4. 219€ + Versand (Vergleichspreis 251€)

garthako 08. Sep 2015

... eigentlich ein Problem der Clients, also z.B. Des Windows Programms, welches diese...


Folgen Sie uns
       


Samsung Flip - Test

Das Samsung Flip ist ein Smartboard, das auf eingängige Weise Präsentationen oder Meetings im Konferenzraum ermöglicht. Auf dem 55 Zoll großen Bildschirm lässt es sich schreiben oder zeichnen - doch erst, wenn wir ein externes Gerät daran anschließen, entfaltet es sein komplettes Potenzial.

Samsung Flip - Test Video aufrufen
Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Künstliche Intelligenz Vages wagen
  2. KI Mit Machine Learning neue chemische Reaktionen herausfinden
  3. Elon Musk und Deepmind-Gründer Keine Maschine soll über menschliches Leben entscheiden

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

    •  /