WhatsApp und Telegram waren von Sicherheitslücke betroffen

Die Sicherheitsforscher von Check Point haben eine durchaus schwere Sicherheitslücke publik gemacht, die die beliebten Messenger WhatsApp und Telegram betraf. Betraf deshalb, weil beide Anbieter diese Lücke bereits geschlossen haben. Betroffen sind hier auch nicht alle Varianten der Messengerdienste gewesen, Check Point spricht von den Web-Versionen von Telegram und WhatsApp. Die Sicherheitslücke erlaubte es Angreifern, die aktuell laufende Chat-Instanz sowie Informationen zu Kontakten und Chats zu kapern.

Check Point beschreibt, dass beide Anbieter nicht richtig überprüften, ob es sich bei einem geteilten Bild (Telegram: Videodatei) auch wirklich um ein Bild (Telegram: Video) handelte – ein Grund war hier die Ende-zu-Ende-Verschlüsselung, die es unmöglich macht, den Inhalt dahingehend zu überprüfen. So waren die Sicherheitsforscher in der Lage, eine spezielle HTML-Datei mit Steuerbefehlen unterzuschieben. Wurde diese geöffnet, so konnte die aktuell laufende Instanz übernommen werden. Erinnert ein wenig an frühere „Lücken“, die beispielsweise Facebook betrafen. (Hier gilt: Fremden nicht vertrauen, nichts anklicken)

Fies: Die spezielle Datei erzeugte beim Empfänger auch eine Vorschau des Bildes, was natürlich vielleicht noch mehr zum Klicken animiert. Ist die Session einmal gekapert, so kann der Angreifer im „guten“ Namen des Nutzers agieren und dementsprechend seine Datei weiter verbreiten. Da WhatsApp keine zwei Instanzen zulässt, hätten Angreifer hier mehr Arbeit investieren müssen, um den aktuellen Tab beim Opfer „einzufrieren“.

Check Point

The exploitation of this vulnerability starts with the attacker sending an innocent looking file to the victim, which contains malicious code. The file can be modified to contain attractive content to raise the chances a user will open it. Once the user clicks to open it, the malicious file allows the attacker to access WhatsApp’s and Telegram’s local storage, where user data is stored. From that point, the attacker can gain full access to the user’s account and account data. The attacker can then send the malicious file to the all victim’s contacts, opening a dangerous door to a potentially widespread attack over the WhatsApp and Telegram networks.

Laut Check Point habe man die Lücke am 7. März an die Unternehmen kommuniziert, die daraufhin diese schnell schlossen. Wer das Ganze im Detail lesen möchte, findet dies bei Check Point.

Update 16:30 Uhr, Telegram stellt klar:

Statement

A company called Check Point has discovered a way of taking over a WhatsApp account provided that your target simply opened a photo you sent them. No additional actions from the target were required. Some media irresponsibly reported that „the same“ vulnerability was discovered in Telegram.

This is not true, Telegram never had this issue.

What did you have?

Last week, Check Point pointed out a different issue in Telegram Web that was based on the same idea, but had very different implications for the end user. For this version to work, you had to convince your target to do exactly the following:

1. Hit ‚Play‘ to start watching a malicious video via Telegram Web in Chrome. (At this point a WhatsApp account is already compromised, but nothing happens in Telegram.)

2. Then, as the video is already playing, right-click on the running video and select „open in a new tab“ from the menu.

Your target had to do exactly that, in this exact order. The scenario would NOT work:

  • If you simply opened the video to play it in a new tab. No effect whatsoever.
  • If you opened the video in full-screen mode. No effect either.

As you can see, the attack against Telegram required very unusual user interaction to succeed.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Die Web-Version von Whatsapp oder Threema ist sowieso nur eine schlechte Remote-Krücke, die mit echten Multi-Device-Messengern wie Telegram nicht mithalten kann. Bei Telegram benutze ich halt stattdessen die Desktop-App.

  2. irgendwie ironisch, dass die e2e-verschlüsselung in einer sicherheitslücke resultiert.

  3. ?? WhatsApp und Telegram SIND eine Sicherheitslücke. Trotz vorgegaukelter Verschlüsselung. Jedes billige Sniffertool legt die unsaubere Verschlüsselung offen.

  4. … aber warum der Aufreger. Der geistige Dünnpfiff, der meist versendet wird, muss nicht verschlüsselt werden. Oder weil so peinlich dann lieber doch Wer diese Dienste beruflich nutzt gehört fristlos gekündigt.

  5. @icke Hast du gerade mal nen Paper oder sonstige Quellen zu deinen Angriffenvektoren?

  6. @Jan
    Einfach mal mit Wireshark die ausgehenden Pakete ansehen 🙂

  7. @pietz
    Tja, wenn Idioten nicht verstehen, was der Unterschied zwischen Verschlüsseln und Signieren ist, wie es scheinbar mindestens bei WA der Fall war, dann handelt man sich Sicherheitslücken ein. Daran kann ich auch keine Ironie erkennen.

  8. @icke
    Hast du jemals Wireshark installiert und damit die Kommunikation zwischen WA und seinem Server oder deinem Web-Client abgefangen?

    Dann sollte dir klar sein, dass da nichts mitzulesen ist. Die Zeiten, wo ein XOR gereicht hat, um die Nachrichten mitlesen zu können, sind vorbei.

    Außerdem geht es in diesem Artikel nicht darum, dass irgend eine Verschlüsselung gebrochen wäre. Es ging darum, dass man einem WA Client etwas schicken konnte, was dieser akzeptiert hat (weil er die Herkunft nicht überprüft hat), was ihn dazu bewegte, etwas auszuführen, was Schadcode war.

  9. @Caschy
    Ich weiß, mein Feedback kommt etwas spät. aber packe doch bitte Web-Client mit in die Überschrift. „WhatsApp und Telegram waren von Sicherheitslücke betroffen“ ist schon sehr verwirrend und ruft Aussagen wie die von icke hervor.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.