Es wurde festgestellt, dass der Facebook-eigene Messaging-Dienst WhatsApp eine große Sicherheitslücke in seinen Videoanrufen aufweist.
Siehe zugehörige Google-Achsen Google+ nach der Entdeckung eines riesigen DatenlecksTory Party Conference-App, die für ein großes Sicherheitsleck verantwortlich istFacebook droht eine EU-Geldstrafe von 1,25 Mrd. £ wegen massiver Datenschutzverletzung
Laut Natalie Silvanovich, Expertin für digitale Forensik bei Google Project Zero, boten die Videoanrufe von WhatsApp Hackern die Möglichkeit, die Kontrolle über das Smartphone eines Benutzers zu übernehmen. Die Schwachstelle entstand aufgrund eines „Speicherbeschädigungsfehlers in der Nicht-WebRTC-Videokonferenzimplementierung von WhatsApp“, erklärte sie in einem Tweet.
„Heap-Korruption kann auftreten, wenn die mobile WhatsApp-Anwendung ein fehlerhaftes RTP-Paket (Real-time Transport Protocol) empfängt“, sagte Silvanovich in einem Schwachstellenbericht. „Dieses Problem kann auftreten, wenn ein WhatsApp-Benutzer einen Anruf von einem böswilligen Peer annimmt.“
Im Wesentlichen könnten Hacker, die diese Methode verwenden, das Telefon eines Opfers entführen, wenn sie einfach einen Anruf entgegennehmen, mit dem Potenzial, aus der Ferne auf die Inhalte eines Geräts und WhatsApp-Gespräche zuzugreifen.
Die Schwachstelle wurde im August dieses Jahres gefunden und betraf sowohl die iPhone- als auch die Android-Version der App, nicht jedoch die Desktop-Version. Dem Bericht zufolge hat WhatsApp das Problem am 28. September im Android-Client und am 3. Oktober im iPhone-Client behoben.
In einer Erklärung gegenüber Reuters , WhatsApp sagte:„Wir arbeiten routinemäßig mit Sicherheitsforschern aus der ganzen Welt zusammen, um sicherzustellen, dass WhatsApp sicher und zuverlässig bleibt. Wir haben umgehend einen Fix für die neueste Version von WhatsApp herausgegeben, um dieses Problem zu beheben.“ Der Bericht fügte hinzu, dass WhatsApp „keine Beweise dafür hatte, dass Hacker den Fehler tatsächlich ausgenutzt haben, um Angriffe zu starten“.
In einem Tweet beschrieb Google Project Zero-Forscher Tavis Ormandy das Problem jedoch als „große Sache“.
„Allein die Annahme eines Anrufs von einem Angreifer könnte WhatsApp vollständig kompromittieren“, sagte er. Das bedeutet, dass ein Angreifer nur eine Telefonnummer benötigt, um ein Konto zu kapern und Gespräche zu belauschen.
Paul Bischoff, Datenschutzbeauftragter bei Comparitech, sagte jedoch IT Pro dass er der Behauptung skeptisch gegenüberstand, dass dieser Angriff es einem Hacker ermöglichen könnte, das Gerät des Opfers aus der Ferne zu übernehmen und auf seine Gespräche zuzugreifen.
„Der Proof of Concept beschreibt einen Speicherüberlauf, der die App aufgrund einer Speicherbeschädigung zum Absturz bringt, aber nicht darauf hinweist, dass dies eine Remote-Hijacking ermöglichen würde“, sagte er. „Wie könnte ein Hacker eine App übernehmen, wenn sie gerade abgestürzt ist?“
„Trotzdem hat WhatsApp die Schwachstelle bereits gepatcht, daher sollten Benutzer die App unbedingt aktualisieren, um dies zu verhindern.“