Schnell updaten!

Schwere Sicherheitslücke in WhatsApp-Gifs entdeckt

Logo von Whatsapp im Hintergrund, vorne ist eine Hand mit Smartphone zu sehen
Die Kommunikation im Messenger kann üble Konsequenzen haben

Das nächste Gif, welches Sie auf WhatsApp senden, könnte jede Menge Ärger verursachen. Es wurde ein Fehler in WhatsApp entdeckt, mit dem sich Gifs in kleine Trojaner verwandeln lassen.

Schwere Sicherheitslücke

Ein Sicherheitsforscher hat einen bösen Bug entdeckt, der es Hackern möglich macht, über WhatsApp unschuldige Opfer anzugreifen. Bei der neuen, digitalen Gefahr versteckt sich der  Exploit (= Eine systematische Möglichkeit, Schwachstellen auszunutzen, welche bei der Entwicklung eines Programms entstehen können) in einer Gif-Datei. Sobald ein User das animierte Bildchen herunterlädt, befindet sich die Schadsoftware auf seinem Handy. Dort wartet sie in Lauerstellung auf ihren Einsatz. In dem Gif lauert ein Code, der es Hackern ermöglicht, die privaten Nachrichten einer Zielperson zu lesen.

Der Code ermöglicht auch einen Angriff auf die „Remote-Code-Ausführung“, was bedeutet, dass ein Hacker auf das System Ihres Telefons zugreifen kann. Sobald sie in ein Telefon eingedrungen sind, können Kriminelle nach sensiblen Informationen suchen, bösartige Software installieren oder das Gerät sogar unbemerkt „kapern“, um andere Ziele zu infizieren. Glücklicherweise wurde der Fehler von einem in Singapur lebenden „Enthusiasten für Technologie und Sicherheit“ entdeckt. Unter dem Pseudonym Awakened hatte er den Fund an den Online-Dienst Github geschickt, welche umgehend WhatsApp alarmierten.

Achtung: Um ihr zum Opfer zu fallen, muss die Datei noch nicht einmal geöffnet werden. Awakened erklärt: „Beachten Sie, dass der Benutzer nichts senden muss, da das Öffnen der WhatsApp-Galerie den Fehler auslöst. Es ist keine zusätzliche Berührung nach dem Drücken von WhatsApp Gallery erforderlich. Der Fehler betrifft nur Android-Geräte, so dass iPhone-Besitzer vor ihm sicher sind.“

Auch interessant: Darum sollten Sie Fotos nicht mit WhatsApp aufnehmen

WhatsApp reagiert mit Software-Update

Dort wurde direkt reagiert und die Gefahrenquelle mittels einer neuen Version der Software ausgemerzt. Das entsprechende Update veröffentlichten sie zusammen mit diesem Ratschlag: „WhatsApp-Benutzer, bitte aktualisieren Sie auf die neueste WhatsApp-Version, um weiterhin sicher zu sein.“ Die neueste App-Version ist die 2.19.244. Mit dieser (oder höher) sind die User vor dem Fehler und der drohenden Gefahr geschützt.

Wie eine Schwachstelle in WhatsApp zum RCE wird

In der Computersicherheit wird die Arbitrary Code Execution (ACE) verwendet, um die Fähigkeit eines Angreifers zu beschreiben, beliebige Befehle oder Code auf einer Zielmaschine oder in einem Zielprozess auszuführen. Ein Programm, das dazu bestimmt ist, eine solche Schwachstelle auszunutzen, wird als Arbitrary Code Execution Exploit bezeichnet. Die Möglichkeit, die Ausführung eines beliebigen Codes über ein Netzwerk auszulösen (insbesondere über ein Weitverkehrsnetzwerk wie das Internet), wird oft als Remote Code Execution (RCE) bezeichnet.

Betroffene Versionen

Der Exploit funktioniert bis zur WhatsApp-Version 2.19.230. Die Schwachstelle ist offiziell gepatcht in WhatsApp Version 2.19.244.

Er ist ausführbar mit Android 8.1 und 9.0, allerdings nicht für Android 8.0 und darunter. In den älteren Android-Versionen konnte die Software zwar noch ausgelöst werden. Wegen der malloc-Aufrufe durch das System stürzt die App jedoch ab, bevor der Punkt erreicht wird, ab dem das PC-Register fremdgesteuert werden kann.

Beachten Sie, dass Facebook den Entwickler von android-gif-drawable über das Problem informiert hat. Die Version 1.2.18 von Android-gif-drawable ist sicher vor dem Double-Free Bug.

Demo-Video zeigt Auslösung des Bugs

Zum besseren Verständnis hatte er das gesamte Prozedere auf Video aufgezeichnet und dieses seinem Blog-Artikel beigefügt:

Die einzelnen, dargestellten Schritte lauten wie folgt:

– Der Angreifer sendet eine Gif-Datei an die Zielperson (bei 0:16).

Das geht zum Beispiel indem die Gif-Datei als Dokument über WhatsApp verschickt wird (z.B. durch Drücken der Büroklammer-Taste und Auswahl der beschädigten Gif).

Wenn sich der Angreifer in der Kontaktliste des Benutzers (d.h. ein „Freund“ also) befindet, wird das beschädigte Gif automatisch und ohne jegliche Benutzerinteraktion heruntergeladen.

– Der (geschädigte) Benutzer möchte eine Mediendatei an einen seiner WhatsApp-Freunde senden. Der Benutzer drückt also auf den Büroklammer-Button und öffnet die WhatsApp Gallery, um eine Mediendatei auszuwählen, die er an seinen Freund senden möchte (bei 0:24).

Hier fällt vor allem auf, dass der Benutzer nichts senden muss, da bereits das Öffnen der WhatsApp-Galerie die Schadsoftware auslöst. Es ist keine zusätzliche Berührung nach dem Drücken von WhatsApp Gallery erforderlich.

– Da WhatsApp Vorschauen aller Medien (einschließlich der empfangenen Gif-Datei) anzeigt, löst es den Bug und den RCE-Exploit aus (bei 0:30).

Ebenfalls von Interesse: Auf diesen Smartphones wird WhatsApp abgeschaltet