• IT-Karriere:
  • Services:

Schadcode: Patch schließt Sicherheitslücke in Whatsapp-Webclient

In vCards eingebetteter Schadcode lässt sich unbemerkt über den Whatsapp-Webclient einschleusen. Die Whatsapp-Entwickler haben die Funktion bereits deaktiviert.

Artikel veröffentlicht am ,
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen.
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen. (Bild: Checkpoint)

Aufgrund einer unzureichenden Filterung beim Austausch von Kontaktdaten über das vCard-Format kann beliebiger Schadcode über den Webclient von Whatsapp eingeschleust werden. Das IT-Sicherheitsunternehmen Checkpoint hat Whatsapp bereits informiert. Der Import von vCards wurde in allen Versionen der Clients deaktiviert. Nutzer sollten die Web-App im Browser neu laden, damit der bereitgestellte Patch greift. Die Version für mobile Geräte ist nicht betroffen. Von ihr aus lässt sich aber Schadcode verteilen. Ein Angreifer benötigt lediglich die Telefonnummer eines Opfers.

Stellenmarkt
  1. AZTEKA Consulting GmbH, Freiburg, Mannheim
  2. VISUS Health IT GmbH, Bochum

Kontaktdaten können in Whatsapp über das vCard-Format verteilt werden. In der Web-App lassen sie sich dann per Mausklick importieren. Da Whatsapp aber bislang keine ausreichende Filterung solcher vCard-Dateien vornimmt, konnte dort Schadcode etwa in Form von Batch-Dateien eingebettet werden. Sie lassen sich einfach im Namensfeld einer zu versendenden vCard einbetten - samt der Dateiendung BAT, die Windows dann ausführt. Klickt ein Opfer auf eine empfangene vCard, führt Windows den eingebetteten Code aus.

Exe-Dateien im vCard-Format

Durch gezielte Manipulation des von Whatsapp angepassten Extensible-Messaging-and-Presence-Protokolls (XMPP) könnten Angreifer sogar ausführbare Exe-Dateien als vCard-Datei tarnen und die Dateiendung verschleiern, so dass diese dem Opfer verborgen bleibt. Grund ist eine unzureichende Prüfung der Inhalte von vCards durch Whatsapp.

Da die Schwachstelle vergleichsweise einfach auszunutzen sei, könnten Betrüger und Cyberkriminelle beispielsweise Ransomware oder andere Malware gezielt verbreiten. Ausgefeilte Exploits für verschiedene Browserversionen seien nicht nötig. Die so ausgeführte Malware läuft aber lediglich mit Benutzerrechten.

Checkpoint hat Whatsapp am 21. August 2015 über die Schwachstelle informiert. Bereits am 27. August wurde ein Fix bereitgestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 189,99€ (Bestpreis)
  2. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)
  3. 279,99€ (Bestpreis)

garthako 08. Sep 2015

... eigentlich ein Problem der Clients, also z.B. Des Windows Programms, welches diese...


Folgen Sie uns
       


Canon EOS R5 - Test

Canons spiegellose Vollformatkamera EOS R5 kann Fotos mit 45 Mpx aufnehmen und Videos in 8K - aber Letzteres nur mit Einschränkungen.

Canon EOS R5 - Test Video aufrufen
Moodle: Was den Lernraum Berlin in die Knie zwang
Moodle
Was den Lernraum Berlin in die Knie zwang

Eine übermäßig große Datenbank und schlecht optimierte Abfragen in Moodle führten zu Ausfällen in der Online-Lernsoftware.
Eine Recherche von Hanno Böck


    Quereinsteiger: Mit dem Master in die IT
    Quereinsteiger
    Mit dem Master in die IT

    Bachelorabsolventen von Fachhochschulen gehen überwiegend sofort in den Job. Einen Master machen sie später und dann gerne in IT. Studienangebote für Quereinsteiger gibt es immer mehr.
    Ein Bericht von Peter Ilg

    1. IT-Arbeit Es geht auch ohne Chefs
    2. 42 Wolfsburg Programmieren lernen ohne Abi, Lehrer und Gebühren
    3. Betriebsräte in der Tech-Branche Freunde sein reicht manchmal nicht

    20 Jahre Wikipedia: Verlässliches Wissen rettet noch nicht die Welt
    20 Jahre Wikipedia
    Verlässliches Wissen rettet noch nicht die Welt

    Noch nie war es so einfach, per Wikipedia an enzyklopädisches Wissen zu gelangen. Doch scheint es viele Menschen gar nicht mehr zu interessieren.
    Ein IMHO von Friedhelm Greis

    1. Desktop-Version Wikipedia überarbeitet "klobiges" Design

      •  /