Es gibt eine schwerwiegende Sicherheitslücke in Whatsapp, welche von dem Projekt Googles Project Zero entdeckt wurde. Die Sicherheitslücke kann mittels eines einfachen Anrufes ausgenutzt werden. Die Lücke wurde von Whatsapp geschlossen.
Das Problem steckt in der Speicherverwaltung der Videokonferenzfunktion des Messengers. Mit einem präparierten (RTP) Daten-Paket könnte man einen Speicherfehler herbeiführen. Dabei reicht die annahme eines manipulierten Anrufs. Sicherheitsforscherin Natalie Silvanovich, die bei Googles Project Zero arbeitet, konnte mit der Sicherheitslücke Whatsapp zum Absturz bringen. Sie habe nicht versucht, die Lücke weiter auszunutzen, diese habe aber erhebliches Potenzial, schreibt sie auf ihrem Twitteraccount.
Die Sicherheitslücke wurde im August entdeckt und an den Messanger Anbieter gemeldet. Laut dem Unternehmen wurde sie Ende September in der Android-Version und Anfang Oktober unter iOS geschlossen. Mit der Version 2.18.302 des Messengers, sowie der am 1. Oktober veröffentlichten 2.18.93, wurde die Lücke behoben.
Obwohl die Lücke bereits Ende September geschlossen wurde, ist das Update noch nicht für alle Android-Nutzer im Google Play Store verfügbar. Bevor Sie Anrufe mittels Whatsapp entgegen nehmen, empfehlen wir eine Überprüfung der installierten Whatsapp-Version. Es ist bislang unklar, ob es zu solchen Attacken tatsächlich gekommen ist.
Eine Sprecherin des Anbieters erklärte in einer E-Mail an die Nachrichtenagentur Reuters, der Fehler sei in der neusten Version der App behoben worden. Weltweit nutzen mehr als 1,2 Milliarden Menschen WhatsApp.
Das Unternehmen hatte in der Vergangenheit mit einer Reihe von Sicherheitsproblemen zu kämpfen. Zuletzt gab Facebook einen Hackerangriff bekannt, von dem nach Angaben des Managements 50 Millionen Nutzer betroffen waren. Facebook hatte den Messanger 2014 für 19 Milliarden Dollar gekauft. WhatsApp gehört wie auch Instagram zum Facebook-Konzern.
Mit “Fuzzing” in Whatsapp entdeckt
Die Lücke wurde mittels Fuzzing entdeckt, eine Methode bei welchem eine Software mit zufälligen Daten gefüttert wird. Reagiert sie auf eine Eingabe ungewollt, beispielsweise durch einen Absturz, handelt es sich höchstwahrscheinlich um einen Bug.
Googles Project Zero sucht Sicherheitslücken in unterschiedlichster Software und meldet diese an deren Entwickler. Diesen geben ihnen neun Wochen Zeit, die Lücke zu schließen, dann veröffentlicht Project Zero eine Beschreibung der Lücke. Wird sie bereits vor Ablauf der Frist geschlossen, erscheint die Veröffentlichung entsprechend früher.
