WhatsApp mit schwerer Sicherheitslücke – Aktualisiert Apps und Betriebssysteme!
WhatsApp hat aktuell mit einer schweren Sicherheitslücke zu kämpfen, die dafür sorgen kann, dass ein Angreifer euch per Anruf Schadsoftware auf das Smartphone spülen kann, die sogar eine Fernsteuerung des Gerätes ermöglicht. Um den Angriff erfolgreich auszuführen, müsst ihr den Anruf nicht mal annehmen.
Facebook hat dafür bereits einen server-seitigen Fix eingespielt und auch ein Update der iOS- und Android-App veröffentlicht, das ihr unbedingt installieren solltet. Weiterhin ist es empfohlen, die neueste Betriebssystem-Version auf dem Smartphone zu installieren, um auch dort möglichst wenige Sicherheitslücken zu bieten. Vor allem die iOS-Nutzer haben gestern Abend wieder aktuelle Software bekommen.
This attack has all the hallmarks of a private company known to work with governments to deliver spyware that reportedly takes over the functions of mobile phone operating systems. We have briefed a number of human rights organisations to share the information we can, and to work with them to notify civil society. – Facebook
Die ganze Sache ist einem kanadischen Anwalt für Menschenrechte aufgefallen, der bereits ein paar Mal gegen eine israelische Firma namens NSO Group geklagt hat, diese wird für die Angriffe verantwortlich gemacht, verneint natürlich jegliche Involvierung.
Under no circumstances would NSO be involved in the operating or identifying of targets of its technology, which is solely operated by intelligence and law enforcement agencies. NSO would not, or could not, use its technology in its own right to target any person or organisation, including this individual.
Wartet also nicht zu lang und aktualisiert Apps und Betriebssystem.
VIA VIA
Und dann gehts’s schon wieder los. Die meisten Android User haben überhaupt nicht die Möglichkeit, das neues Betriebssystemupdate einzuspielen, da es entweder noch nicht verfügbar ist, oder das Handy – in den meisten Fällen – nicht mehr supported wird.
Wenn WhatsApp ein Sicherheitsproblem hat dann muss er in der App behoben werden. Das Betriebssystem hat damit wenig zu tun.
Doch, hat es – die Lücke in der App sorgt dafür, daß Angreifer an die Lücke im Betriebsystem kommen – und da passieren dann die „schlimmen“ Dinge 😉
Repariert man nur die App kann durch eine Lücke in einer anderen App der Fehler im BS uU wieder ausgenutzt werden.
Als blödes Beispiel: Durch WhatsApp kann man die Tür in einem Auto öffnen, aber das der Motor startet, wenn man 3mal auf die Hupe drückt, ist ein Problem des Betriebssystems.
„Die meisten Android User“. Ich denke, dass das heutzutage nicht mehr so ist.
Naja, zumindest meiner Erfahrung nach hat sich die Situation in den Jahren in diesem Punkt leider nicht nennenswert verbessert.
Das stimmt zwar, aber die Lösung ist entweder WhatsApp deinstallieren oder updaten. Das mit dem Betriebssystem updaten klingt wie „einfach mal Windows neu starten“.
Das Update-Thema unter Android ist natürlich weiterhin unschön. Custom ROMs sind eine gute Lösung, die meisten Nutzer sind damit natürlich hoffnungslos überfordert. Ich gehe sogar so weit zu behaupten, es ist richtig, den Nutzern den Root Zugriff vorzuenthalten und vielleicht sollte man das auch den Windows-Nutzern entziehen (vielleicht in tief verschachtelten Einstellungen wieder einschaltbar machen).
schön, dass man nirgendwo erfährt, welche Version denn die aktuellste ist. Auch die Quellen halten sich ja bedeckt…
ach, doch, das Heiseforum:
„betroffen: WhatsApp Android älter als v2.19.134, iOS älter als v2.19.51“
von https://www.facebook.com/security/advisories/cve-2019-3568
Besten Dank! Hab kein Update verfügbar, aber v2.19.134 drauf. Dann kann ich jetzt aufhören nach dem Update zu suchen. 🙂
App aktualisieren ist ja OK. Aber beim Betriebssystem sind wir ja vom jeweiligen Hersteller abhängig. Und Android, na ja, da sieht es bei den meisten mehr als trüb aus.
Da die Schwachstelle Serverseitig und Appseitig geschlossen ist, sollte das nicht relevant sein.
Die meisten Hersteller liefern übrigens monatliche Patch-Updates.
Echt? Die _meisten_ Hersteller liefern monatliche Updates? Da bin ich gespannt. Welche sollen das denn sein?
Samsung, Sony, Huawei, OnePlus, HTC, Google, Xiaomi …
Viele verwechseln eine Rückständigkeit bei den Featureupdates, mit fehlenden Sicherheitsupdates.
Beim Samsung Galaxy S7 soll man nur noch vierteljährig ein Sicherheitpatchupdate bekommen. Ich habe altuell Stand 1. März 2019.
Ansonsten ist Android 8.0.0 drauf. Mehr kommt da auch nicht mehr.
Huawei stimmt schonmal nicht uneingeschränkt. Hab zwar Android 9, aber Sicherheitspatch-Stand ist 01.03.19. Als nix mit monatlich.
Mein Huawei Mate 10 Pro hat schon Patch 01. April 2019.
Bei mir kommen die Updates fast Monatlich jeweils für den vorherigen Monat versetzt.
Google liefert keine monatlichen Sicherheitsupdates, außer, man hat das große Glück, ein Gerät zu besitzen, das noch keine 36 Monate alt ist.
Und? Ist doch in Ordnung. Die Update-Garantie läuft bei den Android Geräten doch selten mehr als 36 Monate.
Klar, iPhones bekommen 4-5 Jahre ihre Updates, wenn der Akku dann nicht platt ist.
Dabei darf man aber nicht vergessen, dass ein mit einem iPhone vergleichbares (Hardware) Android-Gerät auch weniger als 3/5 kostet.
Und ein neues Smartphones mit aktuellem Software-Stand fühlt sich auch geiler an, als eins welches 5 Jahre alt ist und aktuelle Software hat.
Für OnePlus kann ich das anhand meines 6ers leider nicht bestätigen. Eher so alle 2-3 Monate. Aktueller Stand ist 1.März
War auch erstaunt, aber das scheint sich was zu tun. Sowohl bei Huawei als auch beim Samsung Gerät hab ich die letzten Monate immer wieder Updates bekommen.
Meine Handys:
Nexus 6P: Google liefert nichts mehr, Stand Dezember 2018
Moto G5 plus: 8.1.2 Stand Dezember 2018
Moto G5s plus: Stand Januar 2019
Moto G6 plus: Stand Januar 2019
Moto G3: Custom ROM, Stand irgendwann 2017
Nexus 4: Custom ROM Stand irgendwann 2017
Soviel zum Thema. Und zeitnah war nur das Nexus 6P, bis es von Google aus dem Support genommen wurde.
Da wird das OS Update demnächst auf meinem Xiaomi A1 mit Android One eintrudeln.
Also von daher alles gut.
Die aktuellste Betriebssystemversion zu installieren ist nett, aber wie man weiß, ist das bei Android ein Ding der Unmöglichkeit. Whatsapp und Facebook sollte gemieden werden, aber dann ist das Problem, dass man sich selbst als digitaler Außenseiter hinstellt. Hab es mehrmals versucht davon weg zu kommen, aber länger wie ein paar Monate funktioniert das nicht. Etwas off topic aber es ist leider so.
Ich glaub ich werd neben meinem Xiaomi Mi A1 mit Android One dann auch mal mein Reserve Handy mit Mi 4C Lineage OS auf den aktuellen Stand bringen. Geht ja zum Glück bei Android so einfach.
Boah, wie engstirnig!
Frage mich gerade wie das ca 98% der „normalo“ User machen werden?
@Marc:
Nein, natürlich nicht. Das ist ein virtueller „Mobile-Nerd-Schwanzvergleich“ nach dem Motto „Schaut her, wie custom made ich das alles mache!“.
Custom? Bei meinem A1 mit Android One passiert das automatisch durch den Hersteller und Google!
Erst genau lesen, und DANACH mehr oder weniger geistreiche Kommentare abgeben!
@Sven:
Das Lineage OS ist kein vorinstalliertes OS eines gekauften Smartphones. Die Nutzung kann nur erfolgen, wenn man das normale OS gegen Lineage OS austauscht – also Custom. Der einfache normale User wird das in der Regel nicht machen.
Vielleicht solltest DU erstmal nachdenken, dann posten.
By the way: Musst dich auch nicht aufblasen, war kein Angriff auf dich, sondern nur ein „Späßken“ – wie man im Ruhrpott sagt. Kein Spaß verstehen und direkt aggressiv werden, ai ai ai.
Du hast schon gemerkt, dass die Rede vom A1 mit Android One war? Du kannst ja mal Android One bei Google.de suchen.
@Sven:
Zitat:
„Ich glaub ich werd neben meinem Xiaomi Mi A1 mit Android One dann auch mal mein Reserve Handy mit Mi 4C Lineage OS auf den aktuellen Stand bringen. Geht ja zum Glück bei Android so einfach.“
Was spricht dagegen, wenn man nebenbei ein Gerät als Spasshandy zum Basteln hat? Natürlich nichts. Es ist aber schön, wenn man Alternativen hat.
Entscheidend ist, dass man schon vor dem Kauf die Augen macht! Mein echtes Reservehandy ist übrigens auch ein Mi A1 mit Android One (nach mehreren Stürzen für 30 Euro inkl. Rahmen selbst das Display getauscht). Auch dort passieren die monatlichen Updates automatisch durch Google und Hersteller!
Und dabei gilt noch nicht mal der Slogan, wer billig kauft, kauft zweimal. Das A1 und seinen Nachfolger A2, ebenfalls mit Android One, bekommt man für je ca. 150 Euro und hat damit verdammt viel Smartphone fürs Geld.
Damit ist man (ab Release) 3 Jahre sicher, ohne sich weiter drum kümmern zu müssen.
Nach 3 Jahren kann man einen solchen Betrag wieder in die Hand nehmen oder als erfahrener Nutzer dank Alternativen das Gerät sicher weiter verwenden. Xiaomi ist zum Glück ein Hersteller, der für seine Android One Geräte den Kernel Sourcecode veröffentlicht hat, so dass die Geräte auch entsprechend beliebt in der Community und dadurch viele gute Firmwares verfügbar sind (falls man es auf die Spitze treiben möchte).
Dass es bei so vielen Herstellern so schlecht mit der Update Politik aussieht, daran sind in einem großen Maß auch die Nutzer schuld. Wenn sie die Geräte trotzdem kaufen, dann sehen sich die Hersteller auch nicht im Zwang, daran was zu ändern.
@Sven
Sehe ich genau so. Bin ganz bei dir. Mein Ausgangskommentar sollte auch nur spaßig gemeint sein, nicht böse.oder ernst. Alles gut!
Ich mache es ähnlich wie du. 🙂
„Aktualisiert das Betriebssystem“ heißt bei Android natürlich eher „schmeißt euer funktionierende Smartphone auf den großen, wachsenden, müllberg und unterstützt die armen Hersteller wieder etwas, in dem ihr euch ein neues Gerät kauft.“
Da mein Moto X 2013 immer noch ein zuverlässiger Lebensbegleiter ist und mir diese softwaretechnische Obsoleszenz so langsam ziemlich auf den S***k geht, muss ich in dem Fall wohl auf diese wie auch viele andere sicherheitsrelevante Aspekte verzichten.
Naja, einfach WhatsApp löschen. Dann ist zumindest diese Lücke gestopft.
Das Update auf die aktuelle Version sollte doch reichen, unabhängig vom OS.
Whatsapp ist die Sicherheitslücke und jetzt hat sie noch eine Sicherheitslücke inside, 2 in 1 quasi, wenn das kein Angebot ist!.. Mal im Ernst, klatsch die Scheiße runter, dann haste Ruhe! Übrigens, das Moto X 2013 war das tollste Smartphone was ich je hatte, klasse Gerät!
Warum listet man nicht „löscht die Whatsapp App vom Phone“ auf?
Halte ich für effektiver und legitim.
Hat nur den für viele Leute ungewollten Nebeneffekt, dass WhatsApp dann nicht mehr auf Gerät ist. Wer das wirklich will, braucht weder von Dir noch von diesem Blog eine Aufforderung dazu.
Das mit dem System aktualisieren kann doch nur ein allgemeiner Hinweis sein, oder?
Falls nicht, wo ist der Zusammenhang? Natürlich kann eine WA Lucke eine Systemlücke ausnutzen, aber soetwas gehört dann auch im Ansatz erklärt.
Auf welche Version soll man den aktualisieren? WhatsApp, Twitter, Amazon, Skype, Facebook und alle großen Player hauen fast täglich iOS Updates raus. So alte kann die Lücke gar nicht sein.
Redaktionelle Aufgabe!
Findet mal heraus warum die Apps ständig und über dem normal Maß aktualisiert werden.
Ich habe schon die Auto Update Funktion abstellt. Nicht dass ich für das MegaByte bezahlen würde, aber ich sehen diesen Wahnsinn nicht mehr ein. Der Changelog ist meist nicht aussagekräftig und es wird immer nur standardmäßig von Bugfixes gesprochen und offensichtliche Bugs werden monatelang mitgeschleppt.
„WhatsApp mit schwerer Sicherheitslücke – Aktualisiert Apps und Betriebssysteme!“
Welche WA-Version ist nun die altuelle? Ich habe die Beta und die hat derzeit 2.19.139 bei mir.
Das Betriebssystem kann ich nicht aktualisieren, da Android 8.0.0 auf dem S7 drauf ist und mehr kommt da nicht. Sicherheitspatch-Ebene ist der 1. März 2019 und da soll es nur noch Vierteljährig Updates geben.
Der Artikel ist richtig panisch und hysterisch und ein Teil der Unmöglichkeit wird da verlangt.
Hm, Windows Phone mit WhatsApp-Version 2.18.346?
Ich habe Whatsapp und Fratzenbuch schon vor 2 jahren den Rücken gekehrt und bereue nix.
Soweit ich das bis jetzt raus bekommen habe . Betrifft dies zusammenspiel BS und WA alle Geräte die noch mit älter als dem 01.03.19 Sicherheitspatch laufen..
Das sicherste Update für WhatsApp heißt übrigens immer noch Threema.
Der einzige Messenger der anders herum funktioniert: Man zahlt einmalig 3 EUR und kann dann dauerhaft – frei von Facebook & Zuckerberg – sicher kommunizieren! Statt mit seinem Privatleben zu bezahlen!
Mittlerweile hat Threema über 6 Mio. aktive Nutzer in Deutschland und mit jedem zuckerbergschen Datenschutz- oder Sicherheitsskandal werden es mehr!
Und auch hier bei Caschy ist er die Nr. Zwei – siehe die März Umfrage:
https://stadt-bremerhaven.de/umfrage-maerz-welche-messenger-nutzt-du/
Wieviele Skandale brauchst Du noch von Zuckerberg, bis Du endlich auf die sichere Seite wechselst?
Schöne Werbung, in der Sache stimme ich dir ganz sicher auch zu. Threema hat es aber wirklich nicht notwendig, von der Wahrheit abzuweichen,
> Der einzige Messenger der anders herum funktioniert
ist nämlich einfach falsch.
Diese WhatsApp-Versionen sind abgesichert – alle vorigen sind bedroht:
Android: v2.19.134
Business für Android: v2.19.44
iOS: v2.19.51
Business für iOS: v2.19.51
Tizen: v2.18.15
Windows Phone: v2.18.348
Ein Grund mehr sich endlich von Whatsapp zu trennen!!!!!
Bin seit November 2018 ohne Whatsapp – Signal, iMessage und Threema decken bei mir alles ab.
Was die nicht abdecken läuft per SMS.
Das Leben geht auch eindeutig ohne den Zuckerberg-Schmarrn (Whatsapp, Gesichtsbuch usw.)