Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer
Eine Sicherheitslücke in WhatsApp ermöglicht es, ein Smartphone mit einem einzigen Video-Call zu kapern. Potentiell betroffen sind Milliarden WhatsApp-Nutzer.
Mit einem einzigen Videoanruf könnte ein Angreifer eine Sicherheitslücke ausnutzen, die im Code des Messengers WhatsApp schlummerte. Googles Project Zero, ein Team von Elite-Hackern hat diesen Fehler entdeckt und jetzt veröffentlicht †“ eine Woche nachdem WhatsApp eine fehlerbereinigte iOS-Version bereit gestellt hatte. Das fällige Android-Update gibt es bereits seit 28. September.
Der Fehler steckt in der Speicherverwaltung des Video-Conferencings. Ein speziell präpariertes RTP-Paket kann die so durcheinanderbringen, dass der Absender eigenen Code einschleusen und damit das Smartphone kapern kann. Natalie Silvanovich vom Project Zero hat den Fehler entdeckt und dokumentiert ihn mit einem Beispiel-Exploit, der WhatsApp kontrolliert zum Absturz bringen kann. Das ist die gängige Methode, Fehler der allerobersten Kategorie zu demonstrieren.
Jetzt checken und updaten
Es ist damit zu rechnen, dass böswillige Hacker den harmlosen Demo-Exploit recht schnell so ausbauen können, dass er etwa Spionage-Software auf dem Gerät installiert. Deshalb sollten alle WhatsApp-Nutzer jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Aktuell ist für iPhones WhatsApp 2.18.93 und bei Android Version 2.18.302 (beziehungsweise 2.18.306 in Googles Play Store). Alle seit dem 28. September veröffentlichten Versionen sollten sicher sein. Die aktuell installierte findet man unter "Einstellungen/Hilfe" oben im Kopf der Seite.
Update 13:10, 10.10.2018:
Manchen Benutzern bietet Googles Play Store lediglich die WhatsApp-Version 2.18.293 vom 24.09.2018 an. Gemäß den Angaben von Googles Project Zero müsste diese noch verwundbar sein. Davon betroffene Anwender können entweder die aktuelle Version direkt von WhatsApp beziehen; sie müssten dazu aber unter Umständen die Sicherheitseinstellung abschalten, die das Installieren von Apps aus unsicheren Quellen verbietet. Das empfehlen wir nicht. Da bislang keine akuten Angriffe über diese Lücke bekannt sind, ist es besser, morgen noch einmal nachzuschauen, ob die neuere, abgesicherte Version im Play Store verfügbar ist. Bis dahin kann man sich schützen, indem man keine Video-Anrufe annimmt †“ jedenfalls nicht von Unbekannten.
Quelle: