• IT-Karriere:
  • Services:

Sicherheitslücke: Dateien auslesen mit Whatsapp Desktop

Über präparierte Whatsapp-Nachrichten konnte ein Sicherheitsforscher auf lokale Dateien unter Windows und MacOS zugreifen. Der Angriff funktionierte, da Whatsapp Desktop auf einer völlig veralteten Version von Chrome basiert hat - mit weiteren Sicherheitslücken.

Artikel veröffentlicht am ,
Sicherheitslücke in Whatsapp Desktop
Sicherheitslücke in Whatsapp Desktop (Bild: Maret Hosemann/Pixabay)

Über einen präparierten Link konnte der Sicherheitsforscher Gal Weizman Javascript-Code in den Desktop-Client von Whatsapp einschleusen. Mit diesem konnte der Sicherheitsforscher Dateien auf dem betroffenen Rechner auslesen. Der Angriff war jedoch nur möglich, weil Whatsapp Desktop auf einer veralteten Version von Chrome basierte. Diese enthielt weitere Sicherheitslücken. Mittlerweile hat Facebook die Sicherheitslücke in Whatsapp geschlossen.

Stellenmarkt
  1. Max Planck Institute for Human Development, Berlin
  2. Deloitte, Düsseldorf, Frankfurt am Main

Bereits 2017 gelang es Weizman, die Metadaten von Whatsapp-Nachrichten zu bearbeiten, um gefälschte Vorschaubilder von Webseiten anzuzeigen. An diese knüpfte der Sicherheitsforscher an, indem er Links mit Javascript-Code in Whatsapp-Nachrichten injizierte. Über eine Cross-Site-Scripting-Lücke konnte der Sicherheitsforscher anschließend per Javascript auf die lokalen Dateien zugreifen. Das funktionierte sowohl unter Windows als auch unter MacOS.

Whatsapp-Client setzte auf veraltete Chrome-Version

Der Trick funktioniert, da es sich bei dem Desktop-Client von Whatsapp um eine Art Chrome-Browser handelt. Wie Teams oder Skype basiert der Desktop-Client von Whatsapp auf dem Electron-Framework, welches wiederum auf Chromium aufbaut. Entsprechend finden sich die meisten Sicherheitsfunktionen, aber auch Sicherheitslücken von Chrome auch in Electron und damit im Desktop-Client von Whatsapp wieder.

Allerdings wurde die Cross-Site-Scripting-Lücke im Chrome-Browser bereits vor längerer Zeit gefixt. Im Desktop-Client von Whatsapp ließ sie sich dennoch ausnutzen, da dieser noch auf Chrome 69 basierte - als Weizman die Lücke entdeckte, war jedoch Chrome 78 aktuell. Zwischen den beiden Versionen liegt rund ein Jahr. Whatsapp hatte in dieser Zeit versäumt, das Electron-Framework in seinem Desktop-Client zu aktualisieren.

In der veralteten Version von Electron beziehungsweise Chrome finden sich etliche weitere Sicherheitslücken, darunter laut Weizman mindestens fünf verschiedene Sicherheitslücken, mit denen eine Remote-Code-Execution (RCE) möglich ist.

Ab Version v0.3.9309 des Desktop-Clients hat Facebook die Sicherheitslücke behoben. Laut einem Sicherheitshinweis von Facebook war die Lücke nur aufgetreten, wenn ein Desktop-Client mit Whatsapp auf einem iPhone verbunden wurde.

Sicherheitslücken in Whatsapp

Der Trojaner-Hersteller NSO soll 1.400 Whatsapp-Nutzer über eine Sicherheitslücke in dem beliebten Messenger gehackt haben, darunter Journalisten, Menschenrechtsaktivisten und Regierungsbeamte. Facebook hatte daraufhin Klage gegen den Trojaner-Hersteller eingereicht. Auch das Smartphone von Amazon-Chef Jeff Bezos soll über eine Sicherheitslücke in Whatsapp gehackt worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

SkyBeam 06. Feb 2020 / Themenstart

Haha, geilster Kommentar ever! Ich kann kaum mehr zählen wie oft ich schon Whatsapp...

AllDayPiano 06. Feb 2020 / Themenstart

Das sollte man niemals vergessen. Selbst ein Produkt der Größe von Whatsapp hat...

Kommentieren


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

Geforce Now im Test: Nvidia nutzt einzigartige CPU und GPU
Geforce Now im Test
Nvidia nutzt einzigartige CPU und GPU

Wer mit Nvidias Geforce Now spielt, bekommt laut Performance Overlay eine RTX 2060c oder RTX 2080c, tatsächlich aber werden eine Tesla RTX T10 als Grafikkarte und ein Intel CC150 als Prozessor verwendet. Die Performance ist auf die jeweiligen Spiele abgestimmt, vor allem mit Raytracing.
Ein Test von Marc Sauter

  1. Cloud Gaming Activision Blizzard zieht Spiele von Geforce Now zurück
  2. Nvidia-Spiele-Streaming Geforce Now kostet 5,49 Euro pro Monat
  3. Geforce Now Nvidias Cloud-Gaming-Dienst kommt noch 2019 für Android

O2 Free Unlimited im Test: Telefónica macht echte Datenflatrate erschwinglich
O2 Free Unlimited im Test
Telefónica macht echte Datenflatrate erschwinglich

Telefónica startet eine kleine Revolution im Markt für Mobilfunktarife: Erstmals gibt es drei unterschiedliche Tarife mit unlimitierter Datenflatrate, die sich in der maximal verfügbaren Geschwindigkeit unterscheiden. Wir haben die beiden in der Geschwindigkeit beschränkten Tarife getestet und sind auf erstaunliche Besonderheiten gestoßen.
Ein Test von Ingo Pakalski

  1. Telefónica Neue O2-Free-Tarife verlieren endloses Weitersurfen
  2. O2 My Prepaid Smartphone-Tarife erhalten mehr ungedrosseltes Datenvolumen
  3. O2 Free Unlimited Basic Tarif mit echter Datenflatrate für 30 Euro

    •  /