• IT-Karriere:
  • Services:

Schadcode: Patch schließt Sicherheitslücke in Whatsapp-Webclient

In vCards eingebetteter Schadcode lässt sich unbemerkt über den Whatsapp-Webclient einschleusen. Die Whatsapp-Entwickler haben die Funktion bereits deaktiviert.

Artikel veröffentlicht am ,
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen.
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen. (Bild: Checkpoint)

Aufgrund einer unzureichenden Filterung beim Austausch von Kontaktdaten über das vCard-Format kann beliebiger Schadcode über den Webclient von Whatsapp eingeschleust werden. Das IT-Sicherheitsunternehmen Checkpoint hat Whatsapp bereits informiert. Der Import von vCards wurde in allen Versionen der Clients deaktiviert. Nutzer sollten die Web-App im Browser neu laden, damit der bereitgestellte Patch greift. Die Version für mobile Geräte ist nicht betroffen. Von ihr aus lässt sich aber Schadcode verteilen. Ein Angreifer benötigt lediglich die Telefonnummer eines Opfers.

Stellenmarkt
  1. Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
  2. über duerenhoff GmbH, Stuttgart

Kontaktdaten können in Whatsapp über das vCard-Format verteilt werden. In der Web-App lassen sie sich dann per Mausklick importieren. Da Whatsapp aber bislang keine ausreichende Filterung solcher vCard-Dateien vornimmt, konnte dort Schadcode etwa in Form von Batch-Dateien eingebettet werden. Sie lassen sich einfach im Namensfeld einer zu versendenden vCard einbetten - samt der Dateiendung BAT, die Windows dann ausführt. Klickt ein Opfer auf eine empfangene vCard, führt Windows den eingebetteten Code aus.

Exe-Dateien im vCard-Format

Durch gezielte Manipulation des von Whatsapp angepassten Extensible-Messaging-and-Presence-Protokolls (XMPP) könnten Angreifer sogar ausführbare Exe-Dateien als vCard-Datei tarnen und die Dateiendung verschleiern, so dass diese dem Opfer verborgen bleibt. Grund ist eine unzureichende Prüfung der Inhalte von vCards durch Whatsapp.

Da die Schwachstelle vergleichsweise einfach auszunutzen sei, könnten Betrüger und Cyberkriminelle beispielsweise Ransomware oder andere Malware gezielt verbreiten. Ausgefeilte Exploits für verschiedene Browserversionen seien nicht nötig. Die so ausgeführte Malware läuft aber lediglich mit Benutzerrechten.

Checkpoint hat Whatsapp am 21. August 2015 über die Schwachstelle informiert. Bereits am 27. August wurde ein Fix bereitgestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 129€ (Bestpreis mit Saturn. Vergleichspreis 159,99€ + Versand)
  2. (u. a. Total War: Warhammer II für 24,99€, Halo Wars 2 (Xbox One / Windows 10) für 10,49€ und...
  3. 1,99€
  4. (u. a. Ecovacs Robotics Deebot Ozmo 905 heute für 333€, Philips 58PUS6504/12 für 399€, JBL...

garthako 08. Sep 2015

... eigentlich ein Problem der Clients, also z.B. Des Windows Programms, welches diese...


Folgen Sie uns
       


Xiaomi Mi 10 Pro - Test

Das Mi 10 Pro ist Xiaomis jüngstes Top-Smartphone. Im Test überzeugt vor allem die Kamera.

Xiaomi Mi 10 Pro - Test Video aufrufen
Drohnen in der Stadt: Schneller als jeder Rettungswagen
Drohnen in der Stadt
Schneller als jeder Rettungswagen

Im Hamburg wird getestet, wie sich Drohnen in Städten einsetzen lassen. Unter anderem entsteht hier ein Drohnensystem, das Ärzten helfen soll.
Ein Bericht von Friedrich List

  1. Umweltschutz Schifffahrtsamt will Abgasverstöße mit Drohnen verfolgen
  2. Coronakrise Drohnen liefern Covid-19-Tests auf schottische Insel
  3. Luftfahrt Baden-Württemberg testet Lufttaxis und Drohnen

FAQ: Was man über die Corona-App der Regierung wissen muss
FAQ
Was man über die Corona-App der Regierung wissen muss

Golem.de beantwortet die wichtigsten Fragen zu Technik, Nutzen und Datenschutz der Tracing-App der Bundesregierung.
Eine Analyse von Friedhelm Greis

  1. Gegen Zwangsinstallation Grüne Justizminister fordern Gesetz für Corona-App
  2. Auf Github Telekom und SAP veröffentlichen Quellcode der Corona-App
  3. Github Entwickler veröffentlichen Screenshots der Corona-Warn-App

Realme 6 und 6 Pro im Test: Starke Konkurrenz für Xiaomi
Realme 6 und 6 Pro im Test
Starke Konkurrenz für Xiaomi

Das Realme 6 und 6 Pro bieten eine starke Ausstattung für relativ wenig Geld - und gehören damit aktuell zu den interessantesten Mittelklasse-Smartphones.
Ein Test von Tobias Költzsch


      •  /