Sicherheitslücke: Dateien auslesen mit Whatsapp Desktop

Über präparierte Whatsapp-Nachrichten konnte ein Sicherheitsforscher auf lokale Dateien unter Windows und MacOS zugreifen. Der Angriff funktionierte, da Whatsapp Desktop auf einer völlig veralteten Version von Chrome basiert hat - mit weiteren Sicherheitslücken.

Artikel veröffentlicht am ,
Sicherheitslücke in Whatsapp Desktop
Sicherheitslücke in Whatsapp Desktop (Bild: Maret Hosemann/Pixabay)

Über einen präparierten Link konnte der Sicherheitsforscher Gal Weizman Javascript-Code in den Desktop-Client von Whatsapp einschleusen. Mit diesem konnte der Sicherheitsforscher Dateien auf dem betroffenen Rechner auslesen. Der Angriff war jedoch nur möglich, weil Whatsapp Desktop auf einer veralteten Version von Chrome basierte. Diese enthielt weitere Sicherheitslücken. Mittlerweile hat Facebook die Sicherheitslücke in Whatsapp geschlossen.

Stellenmarkt
  1. Process and Business Intelligence Engineer (m/f/d)
    Advantest Europe GmbH, Böblingen
  2. Senior Webdesigner (m/w/d)
    Artprojekt Communication & Event GmbH, Berlin
Detailsuche

Bereits 2017 gelang es Weizman, die Metadaten von Whatsapp-Nachrichten zu bearbeiten, um gefälschte Vorschaubilder von Webseiten anzuzeigen. An diese knüpfte der Sicherheitsforscher an, indem er Links mit Javascript-Code in Whatsapp-Nachrichten injizierte. Über eine Cross-Site-Scripting-Lücke konnte der Sicherheitsforscher anschließend per Javascript auf die lokalen Dateien zugreifen. Das funktionierte sowohl unter Windows als auch unter MacOS.

Whatsapp-Client setzte auf veraltete Chrome-Version

Der Trick funktioniert, da es sich bei dem Desktop-Client von Whatsapp um eine Art Chrome-Browser handelt. Wie Teams oder Skype basiert der Desktop-Client von Whatsapp auf dem Electron-Framework, welches wiederum auf Chromium aufbaut. Entsprechend finden sich die meisten Sicherheitsfunktionen, aber auch Sicherheitslücken von Chrome auch in Electron und damit im Desktop-Client von Whatsapp wieder.

Allerdings wurde die Cross-Site-Scripting-Lücke im Chrome-Browser bereits vor längerer Zeit gefixt. Im Desktop-Client von Whatsapp ließ sie sich dennoch ausnutzen, da dieser noch auf Chrome 69 basierte - als Weizman die Lücke entdeckte, war jedoch Chrome 78 aktuell. Zwischen den beiden Versionen liegt rund ein Jahr. Whatsapp hatte in dieser Zeit versäumt, das Electron-Framework in seinem Desktop-Client zu aktualisieren.

Golem Akademie
  1. Microsoft 365 Administration: virtueller Drei-Tage-Workshop
    01.-03.06.2022, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
Weitere IT-Trainings

In der veralteten Version von Electron beziehungsweise Chrome finden sich etliche weitere Sicherheitslücken, darunter laut Weizman mindestens fünf verschiedene Sicherheitslücken, mit denen eine Remote-Code-Execution (RCE) möglich ist.

Ab Version v0.3.9309 des Desktop-Clients hat Facebook die Sicherheitslücke behoben. Laut einem Sicherheitshinweis von Facebook war die Lücke nur aufgetreten, wenn ein Desktop-Client mit Whatsapp auf einem iPhone verbunden wurde.

Sicherheitslücken in Whatsapp

Der Trojaner-Hersteller NSO soll 1.400 Whatsapp-Nutzer über eine Sicherheitslücke in dem beliebten Messenger gehackt haben, darunter Journalisten, Menschenrechtsaktivisten und Regierungsbeamte. Facebook hatte daraufhin Klage gegen den Trojaner-Hersteller eingereicht. Auch das Smartphone von Amazon-Chef Jeff Bezos soll über eine Sicherheitslücke in Whatsapp gehackt worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


SkyBeam 06. Feb 2020

Haha, geilster Kommentar ever! Ich kann kaum mehr zählen wie oft ich schon Whatsapp...

AllDayPiano 06. Feb 2020

Das sollte man niemals vergessen. Selbst ein Produkt der Größe von Whatsapp hat...



Aktuell auf der Startseite von Golem.de
Nordvpn, Expressvpn, Mullvad & Co
Die Qual der VPN-Wahl

Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
Von Moritz Tremmel

Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Intelligente Tür: Schwachstelle in BLE ermöglicht es, Teslas zu hacken
    Intelligente Tür
    Schwachstelle in BLE ermöglicht es, Teslas zu hacken

    Sicherheitsforscher haben eine neue Schwachstelle bei BLE gefunden. Darüber lassen sich verschiedene Türen öffnen, unter anderem die von einigen Teslas.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /