Abo
  • Services:
Anzeige
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen.
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen. (Bild: Checkpoint)

Schadcode: Patch schließt Sicherheitslücke in Whatsapp-Webclient

Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen.
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen. (Bild: Checkpoint)

In vCards eingebetteter Schadcode lässt sich unbemerkt über den Whatsapp-Webclient einschleusen. Die Whatsapp-Entwickler haben die Funktion bereits deaktiviert.

Anzeige

Aufgrund einer unzureichenden Filterung beim Austausch von Kontaktdaten über das vCard-Format kann beliebiger Schadcode über den Webclient von Whatsapp eingeschleust werden. Das IT-Sicherheitsunternehmen Checkpoint hat Whatsapp bereits informiert. Der Import von vCards wurde in allen Versionen der Clients deaktiviert. Nutzer sollten die Web-App im Browser neu laden, damit der bereitgestellte Patch greift. Die Version für mobile Geräte ist nicht betroffen. Von ihr aus lässt sich aber Schadcode verteilen. Ein Angreifer benötigt lediglich die Telefonnummer eines Opfers.

Kontaktdaten können in Whatsapp über das vCard-Format verteilt werden. In der Web-App lassen sie sich dann per Mausklick importieren. Da Whatsapp aber bislang keine ausreichende Filterung solcher vCard-Dateien vornimmt, konnte dort Schadcode etwa in Form von Batch-Dateien eingebettet werden. Sie lassen sich einfach im Namensfeld einer zu versendenden vCard einbetten - samt der Dateiendung BAT, die Windows dann ausführt. Klickt ein Opfer auf eine empfangene vCard, führt Windows den eingebetteten Code aus.

Exe-Dateien im vCard-Format

Durch gezielte Manipulation des von Whatsapp angepassten Extensible-Messaging-and-Presence-Protokolls (XMPP) könnten Angreifer sogar ausführbare Exe-Dateien als vCard-Datei tarnen und die Dateiendung verschleiern, so dass diese dem Opfer verborgen bleibt. Grund ist eine unzureichende Prüfung der Inhalte von vCards durch Whatsapp.

Da die Schwachstelle vergleichsweise einfach auszunutzen sei, könnten Betrüger und Cyberkriminelle beispielsweise Ransomware oder andere Malware gezielt verbreiten. Ausgefeilte Exploits für verschiedene Browserversionen seien nicht nötig. Die so ausgeführte Malware läuft aber lediglich mit Benutzerrechten.

Checkpoint hat Whatsapp am 21. August 2015 über die Schwachstelle informiert. Bereits am 27. August wurde ein Fix bereitgestellt.


eye home zur Startseite
garthako 08. Sep 2015

... eigentlich ein Problem der Clients, also z.B. Des Windows Programms, welches diese...



Anzeige

Stellenmarkt
  1. p.a. GmbH, Poing
  2. über JobLeads GmbH, München
  3. BEGO Medical GmbH Technologiepark Universität, Bremen
  4. Bundeskriminalamt, Meckenheim


Anzeige
Top-Angebote
  1. (u. a. 10€ Rabatt auf Game of Thrones, reduzierte Box-Sets und 2 Serien-Staffeln auf Blu-ray für...
  2. 189,00€ (Bestpreis!)
  3. 19,99€ (nur für Prime-Mitglieder)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Twitch

    Videostreamer verdienen am Spieleverkauf

  2. Neuer Mobilfunk

    Telekom-Chef nennt 5G-Ausbau "sehr teuer"

  3. Luftfahrt

    Nasa testet Überschallpassagierflugzeug im Windkanal

  4. Lenovo

    Moto Mod macht Moto Z zum Spiele-Handheld

  5. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  6. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten

  7. Digitale Assistenten

    Google und Amazon kämpfen um Vorherrschaft

  8. Xperia Touch im Hands on

    Projektor macht jeden Tisch Android-tauglich

  9. RetroPie

    Distribution hat keine Rechte mehr am eigenen Namen

  10. Nokia 3310 im Hands on

    Der Nokia-Knochen mit Hipsterpotenzial



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Watch 2 im Hands on: Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
Watch 2 im Hands on
Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
  1. Lenovo-Tab-4-Serie Lenovos neue Android-Tablets kosten ab 180 Euro
  2. Moto G5 und Moto G5 Plus im Hands on Lenovos kompakte Mittelklasse ist zurück
  3. Handy-Klassiker HMD Global bringt das Nokia 3310 zurück

Asus Tinker Board im Test: Buntes Lotterielos rechnet schnell
Asus Tinker Board im Test
Buntes Lotterielos rechnet schnell
  1. Tinker-Board Asus bringt Raspberry-Pi-Klon
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint

Trappist-1: Der Zwerg und die sieben Planeten
Trappist-1
Der Zwerg und die sieben Planeten
  1. Weltraumteleskop Erosita soll Hinweise auf Dunkle Energie finden
  2. Astrophysik Ferne Galaxie schickt grelle Blitze zur Erde
  3. Astronomie Vera Rubin, die dunkle Materie und der Nobelpreis

  1. Re: ist das jetzt Nokia oder nicht ?

    smarty79 | 16:53

  2. Re: XL seats vs geiz-ist-geil

    as (Golem.de) | 16:53

  3. typo

    Brummbär | 16:50

  4. Re: Leider falsche OS

    Unix_Linux | 16:47

  5. Re: Warum bedeutet klein auch meist wenig Leistung?

    Unix_Linux | 16:46


  1. 17:06

  2. 16:32

  3. 16:12

  4. 15:33

  5. 14:31

  6. 14:21

  7. 14:16

  8. 13:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel