Schwere WhatsApp-Sicherheitslücke führte zu Kontenübernahmen

Die Web-Versionen von WhatsApp und Telegram wiesen eine schwere Sicherheitslücke auf, mit der ein Konten-Klau möglich war. Inzwischen ist der Bug behoben.

von Simon Gröflin 17.03.2017

Eine schwere Sicherheitslücke bei WhatsApp und Telegram ermöglichte es, Kontrolle über Nutzerkonten zu erlangen. Davon berichten die Sicherheitsforensiker bei Check Point. Brisant: Über die Schwachstelle konnten Angreifer «in Sekundenschnelle» Konten abzügeln und dabei persönliche Chats, Fotos und Videos abgreifen. Allerdings gelang der Hack nur über die Web-Versionen. Dank Check Point konnte man die Lücken umgehend stopfen, bei WhatsApp schon nach 24 Stunden. Bei Telegram wurde das Leck wenig später auch gestopft.

So gelang das Abzügeln von Nutzerkonten

Check Point beschreibt, dass beide Anbieter nicht richtig überprüften, worum es sich bei geteilten Dateien handelt. Bei WhatsApp waren die Angreifer in der Lage, über ein HTML-Script eine ganze WhatsApp-Session zu kapern. Trickser mussten dazu nur eine getarnte Bilddatei mit einem HTML-Script versenden und darauf hoffen, dass ein Opfer die Datei öffnet. Bei Telegram betraf es Videodateien. In einem Proof-of-Concept-Video ist zu sehen, wie sich der fiese Trick abspielte. 

Die Verschlüsselung war nicht direkt betroffen, stand aber bei beiden Messengern der korrekten Validierung von Dateitypen im Weg. Bei WhatsApp etwa wird erst Ende-zu-Ende verschlüsselt, wenn Dateien auf den Server hochgeladen werden. Besonders gefährlich an der ganzen Sache: Die Datei kam beim Empfänger wie ein normales Vorschaubild oder Video an. Hatte ein Missetäter einmal die Kontrolle über einen fremden Account erlangt, konnte er die Masche im Namen des Opfers an dessen Kontakte verbreiten. 

Wie kann ich mich schützen?

Sowohl WhatsApp als auch Telegram erhielten die Patches seit dem 7. März. Nutzern raten wir, allenfalls die Messenger zu aktualisieren. Unter Umständen befindet man sich nach wie vor in einer authentifizierten Browser-Sitzung. Die aktuelle Session lässt sich in beiden Messengern über die Einstellungen beenden, damit die letzten Instanzen der Browser-Sitzungen nicht mehr mit den Apps gekoppelt sind.