Ein schwerwiegender Sicherheitsfehler in den Videoanrufen von WhatsApp ermöglichte es Angreifern, die Kontrolle über Smartphones zu erlangen. Die Lücke wurde von Experten bei Google Project Zero entdeckt.
Natalie Silvanovich, Spezialistin für digitale Forensik bei Google Project Zero, identifizierte einen Speicherbeschädigungsfehler in der Nicht-WebRTC-Videokonferenz-Implementierung von WhatsApp. In einem Tweet erklärte sie: „Heap-Korruption kann auftreten, wenn die mobile WhatsApp-App ein fehlerhaftes RTP-Paket (Real-time Transport Protocol) empfängt.“ Dies geschah, sobald ein Benutzer einen Anruf von einem bösartigen Peer annahm.
Hacker konnten dadurch potenziell das Opfergerät fernsteuern, auf Inhalte und WhatsApp-Chats zugreifen. Die Schwachstelle betraf iOS- und Android-Versionen, nicht die Desktop-App. WhatsApp behebt sie am 28. September für Android und am 3. Oktober für iOS.
WhatsApp kommentierte gegenüber Reuters: „Wir arbeiten eng mit Sicherheitsforschern weltweit zusammen, um WhatsApp sicher zu halten. Wir haben umgehend einen Fix für die neueste Version herausgebracht.“ Es gibt keine Hinweise auf tatsächliche Ausnutzung.
Tavis Ormandy von Google Project Zero nannte es eine „große Sache“: „Allein das Annehmen eines Anrufs konnte WhatsApp kompromittieren.“ Ein Angreifer brauchte nur die Telefonnummer.
Paul Bischoff, Datenschutzexperte bei Comparitech, äußerte gegenüber IT Pro Skepsis: „Der Proof-of-Concept zeigt einen Speicherüberlauf, der die App abstürzen lässt, aber keinen Remote-Hijack.“ Dennoch rät er: „Aktualisieren Sie WhatsApp sofort, da die Lücke gepatcht ist.“