WhatsApp und Telegram: Sicherheitslücke geschlossen
Der Fehler wurde bereits am 7. März an WhatsApp und Telegram gemeldet. Die Lücken wurden kurz darauf geschlossen, sodass Angreifer sie nach der Veröffentlichung nicht mehr ausnutzen können.
WhatsApp- und Telegram-Nutzern wird empfohlen die Anwendungen so schnell wie möglich zu aktualisieren. Sessions in Browsern sollten gelöscht werden, um potentiell bereits gekaperte Accounts von den Angreifern zu trennen. Dies kann in den Einstellungen beider Messenger getan werden.
Die Sicherheitsexperten haben in zwei Videos den Angriff mit Hilfe eines Bildes bzw. eines Videos demonstriert. In beiden Fällen wird ausgenutzt, dass Dateitypen fehlerhaft validiert werden.
Der Angriff auf WhatsApp wird zum Beispiel unter Einsatz eines Bildlinks, in den der Schad-Code eingebettet ist, bewirkt. Das Opfer klickt auf das Bild, welches sich im Browser öffnet und bringt dadurch den Code zur Ausführung. Über diesen erlangt der Angreifer Zugang zur Session des Gegenübers. Da WhatsApp nur eine Session zulässt, wird ein Hinweis über die Verlagerung des Chats beim Attackierten angezeigt. Da der Angreifer nun Zugang zum WhatsApp-Konto hat, kann er darüber auch auf die für WhatsApp freigegebenen Systemressourcen, wie Bilder, Dokumente und Kontaktdaten zugreifen. Dies ermöglicht hier die Ende-zu-Ende Verschlüsselung , die eigentlich vor fremdem Zugriff schützen soll und die Tatsache, dass die Chats auf alle Clients gespiegelt werden. Jedoch kann der Account nicht permanent gekapert werden, da das Login mit der Telefonnummer verbunden ist.
Bei Telegram wurde ein ähnlicher Angriff mit Hilfe einer Videodatei durchgeführt. Der Code wird hier in den Header des Videos eingeschleust und das Opfer wird aufgefordert das vollständige Video im Browser zu öffnen. Auch hier kann der Angreifer die Session übernehmen. Da Telegram erlaubt die Chats auf mehreren Geräten gleichzeitig zu nutzen, merkt der Angegriffene von der Übernahme seines Accounts im schlechtesten Fall nichts. Auch kann vollständige Kontrolle über den Account erlangt werden, da hier nicht wie bei WhatsApp eine Telefonnummer nötig ist.
Hat der Angreifer Zugriff auf einen Account, so kann er auch im Namen seines Opfers weiteren Schad-Code an dessen Freunde senden und so auch Zugriff auf deren Accounts bekommen.