Die Sicherheitslücke saß innerhalb der verschlüsselten Chats von WhatsApp und Telegram. Normalerweise können User dort nur Dateien wie Bilder oder Dokumente hochladen, die eine interne Liste freigibt. Ein bisher unbekannter Fehler bei diesen Zugriffsrechten erlaubte es den israelischen Sicherheitsforschern von Check Point jedoch, stattdessen eine HTML-Datei hochzuladen.
„Nach so einer HTML-Injektion können wir im System machen, was wir wollen, ohne dass ein User das merkt“, erklärt Oded Vaninu, Head of Products Vulnerability Research bei Check Point gegenüber WIRED. Sein Team und er tarnten ihren Angriffscode in Form von Bildern, auf die die Opfer arglos klickten. Weil der Einbruch aber innerhalb der verschlüsselten Kommunikation stattfand, hatten WhatsApp und Telegram keine Möglichkeit, die Lücke von außen zu sehen.
Wer dort mitlas, bekam also alles mit, was auf dem Handy passierte
Glücklicherweise lässt sich über die Web-Versionen weder das Passwort noch die Nummer eines Accounts ändern. Die Apps auf dem Smartphone synchronisieren allerdings alle Nachrichten und Dateien automatisch mit dem Rechner. Wer dort mitlas, bekam also alles mit, was auf dem Handy passierte. Doch auch User von WhatsApp und Telegram, die die Web-Version nicht nutzen, waren gefährdet.
„Wir konnten unsere Methode dazu benutzen, Smartphone-Besitzern Spear-Phishing-Angriffe etwa über einen WhatsApp-Chat zu schicken“, erklärt Vaninu. Bei solchen Angriffen klicken User auf den Link einer vermeintlich vertrauenswürdigen Quelle (etwa ein ebenso infizierter Freund) und installieren so Schadsoftware auf ihrem Gerät.
Check Point veröffentlicht die Sicherheitslücken keine zwei Wochen nach den WikiLeaks-Enthüllungen zur CIA. Darin ging es um die Möglichkeiten des Geheimdienstes, in die Smartphone-Betriebssysteme iOS und Android einzubrechen. Diese Methoden dienen dazu, gezielt die Ende-zu-Ende-Verschlüsselung von Messengern wie WhatsApp, Telegram oder auch Signal zu umgehen. Diese hilft nichts, wenn der Angreifer längst im System sitzt und schon beim Eintippen der Nachricht mitlesen kann.
Fälschlicherweise glaubten viele Medien jedoch, die Verschlüsselung der Messenger könne als solche gebrochen werden. Dem ist nicht so. Die Probleme, die Check Point jetzt offenlegt, könnten die Unsicherheit rund um die digitale Kommunikation aber noch einmal verstärken.
Sowohl WhatsApp als auch Telegram haben die Sicherheitslücke kurz nach Bekanntwerden geschlossen. Offenbar bestand sie aber schon über Jahre hinweg. Wie viele Daten von Usern abgeflossen sind, und ob Angreifer das Problem gezielt ausgenutzt haben, lässt sich kaum sagen – unbekannte Sicherheitslücken wie diese sind ein attraktives Ziel, sowohl für Kriminelle als auch für staatliche Hacker mit den nötigen Ressourcen, um sie zu finden.
Mein einfacher Rat: Wer keine merkwürdigen Nachrichten bekommen hat, ist sicher okay
„Der Fehler hat nichts mit Verschlüsselung zu tun. Man braucht im Fall von Telegram sehr unkonventionelle Mittel um ihn auszunutzen. Außerdem benutzt nur eine Minderheit unserer User die Web-App“, kommentiert ein Sprecher von Telegram den Vorfall. Demnach müssten User ein infiziertes Video mehrfach abspielen und es auf eine gewisse Weise öffnen, nur dann lasse sich ein Account übernehmen. „Wer macht das schon? Das ist mit der Lücke von Whatsapp also nicht zu vergleichen“, sagt der Sprecher (Check Point erwähnte keine solch komplizierte Vorgehensweise in seinem Report). Eine Sprecherin von WhatsApp sagt: „Als Check Point uns auf den Fehler hinwies, haben wir direkt reagiert und ein Update veröffentlicht.“ Um sicherzugehen, dass die aktuelle Version sicher ist, sollten User ihren Browser neu starten.
Will Strafach ist Experte für App-Sicherheit bei Sudo Security, er sieht ebenfalls keine Fehler bei der Verschlüsselung. Die Mängel lägen in der Software der Web-Messenger. Strafach empfiehlt Usern, nach Möglichkeit nur die Telefon-Versionen zu verwenden, weil diese weniger Angriffsfläche böten. „Mein einfacher Rat lautet: Wer keine merkwürdigen Nachrichten bekommen hat, ist sicher okay.“ Auch die neue Zwei-Wege-Authentifizierung von WhatsApp sei der richtige Weg, um Account-Missbrauch zu verhindern.
