Schadcode: Patch schließt Sicherheitslücke in Whatsapp-Webclient

In vCards eingebetteter Schadcode lässt sich unbemerkt über den Whatsapp-Webclient einschleusen. Die Whatsapp-Entwickler haben die Funktion bereits deaktiviert.

Artikel veröffentlicht am ,
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen.
Über manipulierte vCards lässt sich Schadcode über den Webclient von Whatsapp einschleusen. (Bild: Checkpoint)

Aufgrund einer unzureichenden Filterung beim Austausch von Kontaktdaten über das vCard-Format kann beliebiger Schadcode über den Webclient von Whatsapp eingeschleust werden. Das IT-Sicherheitsunternehmen Checkpoint hat Whatsapp bereits informiert. Der Import von vCards wurde in allen Versionen der Clients deaktiviert. Nutzer sollten die Web-App im Browser neu laden, damit der bereitgestellte Patch greift. Die Version für mobile Geräte ist nicht betroffen. Von ihr aus lässt sich aber Schadcode verteilen. Ein Angreifer benötigt lediglich die Telefonnummer eines Opfers.

Stellenmarkt
  1. Product Owner - Media Solutions (m/f/d)
    Cataneo GmbH, München
  2. Berater als Projektleiter (m/w/d) Software
    wiko Bausoftware GmbH, Freiburg im Breisgau
Detailsuche

Kontaktdaten können in Whatsapp über das vCard-Format verteilt werden. In der Web-App lassen sie sich dann per Mausklick importieren. Da Whatsapp aber bislang keine ausreichende Filterung solcher vCard-Dateien vornimmt, konnte dort Schadcode etwa in Form von Batch-Dateien eingebettet werden. Sie lassen sich einfach im Namensfeld einer zu versendenden vCard einbetten - samt der Dateiendung BAT, die Windows dann ausführt. Klickt ein Opfer auf eine empfangene vCard, führt Windows den eingebetteten Code aus.

Exe-Dateien im vCard-Format

Durch gezielte Manipulation des von Whatsapp angepassten Extensible-Messaging-and-Presence-Protokolls (XMPP) könnten Angreifer sogar ausführbare Exe-Dateien als vCard-Datei tarnen und die Dateiendung verschleiern, so dass diese dem Opfer verborgen bleibt. Grund ist eine unzureichende Prüfung der Inhalte von vCards durch Whatsapp.

Da die Schwachstelle vergleichsweise einfach auszunutzen sei, könnten Betrüger und Cyberkriminelle beispielsweise Ransomware oder andere Malware gezielt verbreiten. Ausgefeilte Exploits für verschiedene Browserversionen seien nicht nötig. Die so ausgeführte Malware läuft aber lediglich mit Benutzerrechten.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Checkpoint hat Whatsapp am 21. August 2015 über die Schwachstelle informiert. Bereits am 27. August wurde ein Fix bereitgestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luftsicherheit
Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
Artikel
  1. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  2. VW ID.4 im Test: Schön brav
    VW ID.4 im Test
    Schön brav

    Eine Rakete ist der ID.4 nicht. Dafür bietet das neue E-Auto von VW viel Platz, hält Spur und Geschwindigkeit - und einmal geht es sogar sportlich in die Kurve.
    Ein Test von Werner Pluta

  3. Kryptowährung: Paar will Ethereum verklagen, weil es nicht an Coins kommt
    Kryptowährung
    Paar will Ethereum verklagen, weil es nicht an Coins kommt

    3.000 Ether kaufte ein Paar 2014. Doch den Schlüssel zum Wallet will es nie erhalten haben. Jetzt sammeln die beiden Geld, um Ethereum zu verklagen.

garthako 08. Sep 2015

... eigentlich ein Problem der Clients, also z.B. Des Windows Programms, welches diese...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /