Sicherheitslücke: Dateien auslesen mit Whatsapp Desktop

Über präparierte Whatsapp-Nachrichten konnte ein Sicherheitsforscher auf lokale Dateien unter Windows und MacOS zugreifen. Der Angriff funktionierte, da Whatsapp Desktop auf einer völlig veralteten Version von Chrome basiert hat - mit weiteren Sicherheitslücken.

Artikel veröffentlicht am ,
Sicherheitslücke in Whatsapp Desktop
Sicherheitslücke in Whatsapp Desktop (Bild: Maret Hosemann/Pixabay)

Über einen präparierten Link konnte der Sicherheitsforscher Gal Weizman Javascript-Code in den Desktop-Client von Whatsapp einschleusen. Mit diesem konnte der Sicherheitsforscher Dateien auf dem betroffenen Rechner auslesen. Der Angriff war jedoch nur möglich, weil Whatsapp Desktop auf einer veralteten Version von Chrome basierte. Diese enthielt weitere Sicherheitslücken. Mittlerweile hat Facebook die Sicherheitslücke in Whatsapp geschlossen.

Stellenmarkt
  1. Trainer (m/w/d) - Android App Entwickler / Developer
    WBS GRUPPE, deutschlandweit (Home-Office)
  2. Technical Software Designer (m/f/d)
    Molecular Machines & Industries GmbH, Eching bei München
Detailsuche

Bereits 2017 gelang es Weizman, die Metadaten von Whatsapp-Nachrichten zu bearbeiten, um gefälschte Vorschaubilder von Webseiten anzuzeigen. An diese knüpfte der Sicherheitsforscher an, indem er Links mit Javascript-Code in Whatsapp-Nachrichten injizierte. Über eine Cross-Site-Scripting-Lücke konnte der Sicherheitsforscher anschließend per Javascript auf die lokalen Dateien zugreifen. Das funktionierte sowohl unter Windows als auch unter MacOS.

Whatsapp-Client setzte auf veraltete Chrome-Version

Der Trick funktioniert, da es sich bei dem Desktop-Client von Whatsapp um eine Art Chrome-Browser handelt. Wie Teams oder Skype basiert der Desktop-Client von Whatsapp auf dem Electron-Framework, welches wiederum auf Chromium aufbaut. Entsprechend finden sich die meisten Sicherheitsfunktionen, aber auch Sicherheitslücken von Chrome auch in Electron und damit im Desktop-Client von Whatsapp wieder.

Allerdings wurde die Cross-Site-Scripting-Lücke im Chrome-Browser bereits vor längerer Zeit gefixt. Im Desktop-Client von Whatsapp ließ sie sich dennoch ausnutzen, da dieser noch auf Chrome 69 basierte - als Weizman die Lücke entdeckte, war jedoch Chrome 78 aktuell. Zwischen den beiden Versionen liegt rund ein Jahr. Whatsapp hatte in dieser Zeit versäumt, das Electron-Framework in seinem Desktop-Client zu aktualisieren.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

In der veralteten Version von Electron beziehungsweise Chrome finden sich etliche weitere Sicherheitslücken, darunter laut Weizman mindestens fünf verschiedene Sicherheitslücken, mit denen eine Remote-Code-Execution (RCE) möglich ist.

Ab Version v0.3.9309 des Desktop-Clients hat Facebook die Sicherheitslücke behoben. Laut einem Sicherheitshinweis von Facebook war die Lücke nur aufgetreten, wenn ein Desktop-Client mit Whatsapp auf einem iPhone verbunden wurde.

Sicherheitslücken in Whatsapp

Der Trojaner-Hersteller NSO soll 1.400 Whatsapp-Nutzer über eine Sicherheitslücke in dem beliebten Messenger gehackt haben, darunter Journalisten, Menschenrechtsaktivisten und Regierungsbeamte. Facebook hatte daraufhin Klage gegen den Trojaner-Hersteller eingereicht. Auch das Smartphone von Amazon-Chef Jeff Bezos soll über eine Sicherheitslücke in Whatsapp gehackt worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luca-App
Wo ist das BSI, wenn man es mal braucht?

Während das BSI die Corona-Warn-App intensiv prüft, müssen das bei der Luca-App freiwillige Sicherheitsexperten übernehmen. Warum ist das so?
Eine Analyse von Friedhelm Greis und Moritz Tremmel

Luca-App: Wo ist das BSI, wenn man es mal braucht?
Artikel
  1. Prophete E-Bike Cargo: Aldi bringt elektrisches Lastenfahrrad mit Anschiebehilfe
    Prophete E-Bike Cargo
    Aldi bringt elektrisches Lastenfahrrad mit Anschiebehilfe

    Aldi hat das Prophete Cargo E-Bike ein Lastenfahrrad im Angebot. Damit können Kinder, Tiere und Einkäufe umweltfreundlich transportiert werden.

  2. Amazon: Fire-TV-Apps sollen Touch-Steuerung erhalten
    Amazon
    Fire-TV-Apps sollen Touch-Steuerung erhalten

    Amazon ruft Anbieter auf, ihre Apps für Fire-TV-Geräte mit einer Touch-Steuerung zu versehen. Das ermöglicht neuartige Geräte.

  3. Der Nachfolger von Windows 10: Windows 11 ist da
    Der Nachfolger von Windows 10
    Windows 11 ist da

    Nun ist es offiziell: Microsoft hat Windows 11 angekündigt. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

SkyBeam 06. Feb 2020

Haha, geilster Kommentar ever! Ich kann kaum mehr zählen wie oft ich schon Whatsapp...

AllDayPiano 06. Feb 2020

Das sollte man niemals vergessen. Selbst ein Produkt der Größe von Whatsapp hat...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate: Ryzen 7 5800 X 359€, Ryzen 5 5600 X 249€ • Gigabyte Z490M 119,90€ • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /