WhatsApp und Telegram waren von Sicherheitslücke betroffen

15. März 2017 Kategorie: Backup & Security, Social Network, geschrieben von: caschy

Die Sicherheitsforscher von Check Point haben eine durchaus schwere Sicherheitslücke publik gemacht, die die beliebten Messenger WhatsApp und Telegram betraf. Betraf deshalb, weil beide Anbieter diese Lücke bereits geschlossen haben. Betroffen sind hier auch nicht alle Varianten der Messengerdienste gewesen, Check Point spricht von den Web-Versionen von Telegram und WhatsApp. Die Sicherheitslücke erlaubte es Angreifern, die aktuell laufende Chat-Instanz sowie Informationen zu Kontakten und Chats zu kapern.

Check Point beschreibt, dass beide Anbieter nicht richtig überprüften, ob es sich bei einem geteilten Bild (Telegram: Videodatei) auch wirklich um ein Bild (Telegram: Video) handelte – ein Grund war hier die Ende-zu-Ende-Verschlüsselung, die es unmöglich macht, den Inhalt dahingehend zu überprüfen. So waren die Sicherheitsforscher in der Lage, eine spezielle HTML-Datei mit Steuerbefehlen unterzuschieben. Wurde diese geöffnet, so konnte die aktuell laufende Instanz übernommen werden. Erinnert ein wenig an frühere „Lücken“, die beispielsweise Facebook betrafen. (Hier gilt: Fremden nicht vertrauen, nichts anklicken)

Fies: Die spezielle Datei erzeugte beim Empfänger auch eine Vorschau des Bildes, was natürlich vielleicht noch mehr zum Klicken animiert. Ist die Session einmal gekapert, so kann der Angreifer im „guten“ Namen des Nutzers agieren und dementsprechend seine Datei weiter verbreiten. Da WhatsApp keine zwei Instanzen zulässt, hätten Angreifer hier mehr Arbeit investieren müssen, um den aktuellen Tab beim Opfer „einzufrieren“.

Check Point

The exploitation of this vulnerability starts with the attacker sending an innocent looking file to the victim, which contains malicious code. The file can be modified to contain attractive content to raise the chances a user will open it. Once the user clicks to open it, the malicious file allows the attacker to access WhatsApp’s and Telegram’s local storage, where user data is stored. From that point, the attacker can gain full access to the user’s account and account data. The attacker can then send the malicious file to the all victim’s contacts, opening a dangerous door to a potentially widespread attack over the WhatsApp and Telegram networks.

Laut Check Point habe man die Lücke am 7. März an die Unternehmen kommuniziert, die daraufhin diese schnell schlossen. Wer das Ganze im Detail lesen möchte, findet dies bei Check Point.

Update 16:30 Uhr, Telegram stellt klar:

Statement

A company called Check Point has discovered a way of taking over a WhatsApp account provided that your target simply opened a photo you sent them. No additional actions from the target were required. Some media irresponsibly reported that „the same“ vulnerability was discovered in Telegram.

This is not true, Telegram never had this issue.

What did you have?

Last week, Check Point pointed out a different issue in Telegram Web that was based on the same idea, but had very different implications for the end user. For this version to work, you had to convince your target to do exactly the following:

1. Hit ‚Play‘ to start watching a malicious video via Telegram Web in Chrome. (At this point a WhatsApp account is already compromised, but nothing happens in Telegram.)

2. Then, as the video is already playing, right-click on the running video and select „open in a new tab“ from the menu.

Your target had to do exactly that, in this exact order. The scenario would NOT work:

  • If you simply opened the video to play it in a new tab. No effect whatsoever.
  • If you opened the video in full-screen mode. No effect either.

As you can see, the attack against Telegram required very unusual user interaction to succeed.


 

Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 23587 Artikel geschrieben.