Der WhatsApp-Fehler hätte Hackern das Lesen Ihrer Dateien ermöglichen können

WhatsApp hat im letzten Monat eine Sicherheitslücke in seinen Desktop-Apps behoben, durch die Hacker möglicherweise auf die lokalen Dateien Ihres Computers zugreifen konnten. Die Sicherheitsanfälligkeit, die von einem Cybersicherheitsforscher bei PerimeterX entdeckt wurde, betraf die Windows- und Mac-Clients des Messaging-Dienstes, als sie mit einem iPhone gekoppelt wurden.

Der Fehler wurde in WhatsApps Content Security Policy gefunden, einer zusätzlichen Sicherheitsschicht, die Unternehmen häufig einsetzen, um bestimmte Angriffe zu verhindern, und die es böswilligen Akteuren ermöglichte, Nachrichten und Links mithilfe einer Methode namens Cross-Site Scripting zu manipulieren.

Wenn ein Benutzer auf einen dieser verfälschten Texte tippt, erteilt er dem Angreifer unwissentlich die Berechtigung, die lokalen Dateien seines Computers zu lesen und schädliche Codes einzufügen. Während die Sicherheitsanfälligkeit eine Interaktion des Benutzers erforderte, war es möglich, sie remote auszuführen.

„Eine Sicherheitsanfälligkeit in WhatsApp Desktop in Verbindung mit WhatsApp für iPhone ermöglicht standortübergreifendes Scripting und das Lesen lokaler Dateien. Um die Sicherheitsanfälligkeit auszunutzen, muss das Opfer auf eine Linkvorschau aus einer speziell gestalteten Textnachricht klicken “, schrieb die Muttergesellschaft Facebook in einem Sicherheitshinweis.

Der Fehler betrifft WhatsApp Desktop-Builds vor Version 0.3.9309 und WhatsApp für iPhone-Versionen vor Version 2.20.10. Es wurde am 21. Januar 2020 behoben. Um Ihre Sicherheit zu gewährleisten, aktualisieren Sie die WhatsApp-App auf Ihrem Computer und iPhone.

„Ältere Versionen des Chromium-Frameworks von Google Chrome, wie sie von den anfälligen Versionen der WhatsApp-Desktopanwendung verwendet werden, sind für diese Code-Injektionen anfällig, obwohl neuere Versionen von Google Chrome vor solchen JavaScript-Änderungen geschützt sind. Andere Browser wie Safari sind noch immer offen für diese Sicherheitslücken “, erklärte PerimeterX-Gründer und CTO Ido Safruti.

Die Sicherheitsanfälligkeit wirkt sich nicht auf Android aus, da im Gegensatz zu iOS ein zusätzlicher Schutz gegen Javascript-Banner vorhanden ist. "IOS hat diese Überprüfung weggelassen, wodurch Banner mit schädlichen Inhalten auf iOS-Geräten geladen werden konnten", fügte ein PerimeterX-Sprecher hinzu.

Im letzten Jahr hatte WhatsApp Schwierigkeiten, Sicherheitslücken auszuschließen. Im November hat der Facebook-eigene Messaging-Riese einen Fehler behoben, durch den Hacker mit nur einer MP4-Datei die Kontrolle über ein Telefon hätten übernehmen können. Vor einigen Wochen wurde festgestellt, dass derselbe Fehler auch das Telefon und die vertraulichen Daten von Jeff Bezos von Amazon gefährdete. Später beschuldigte der CEO von Telegram WhatsApp in einem vernichtenden Blog-Beitrag, absichtlich Hintertüren für Strafverfolgungsbehörden gepflanzt und diese als Fehler maskiert zu haben, wenn sie erwischt wurden.