WhatsApp: Sicherheitslücke erlaubte Zugriff per Videoanruf
Eine Sicherheitslücke im zu Facebook gehörenden Messenger-Dienst WhatsApp ermöglichte es, ein Smartphone per Videoanruf zu übernehmen. Das Unternehmen räumte den von Googles Hackergruppe Project Zero veröffentlichten Fehler ein und lieferte in den vergangenen Wochen entsprechende Updates aus.
Fehler erlaubte vollen Zugriff auf fremde Smartphones
In WhatsApp wurde eine Sicherheitslücke entdeckt, mittels der Hacker durch eine Einladung zu einem Video-Konferenzgespräch die Kontrolle über das Smartphone des Angerufenen übernehmen können. Googles Project Zero, eine Hackergruppe, die für den Konzern Schwachstellen in Software aufspürt, hat die Lücke entdeckt und jetzt veröffentlicht. Demnach liege der Fehler in der Speicherverwaltung: Mit einem präparierten RTP-Paket kann eine Memory Corruption herbeigeführt werden. Das ermöglicht es Angreifern, eigenen Code in das Mobiltelefon einzuschleusen und so kompletten Zugriff zu erlangen.
Laut Project Zero sei es auf diesem Wege gelungen, die App auf fremden Smartphones kontrolliert zum Abstürzen zu bringen. Weiter habe die Gruppe den Fehler nicht ausgereizt, entsprechendes Potential sei aber vorhanden. Bereits im August 2018 habe man WhatsApp über die Sicherheitslücke informiert und sie nun mit einigen Wochen Verzögerung anhand eines Beispiel-Exploits publik gemacht. WhatsApp selbst räumte den Fehler am gestrigen Mittwochabend gegenüber Reuters ein.
Versionen ab dem 1. Oktober sind sicher
Zuvor stellte das Unternehmen Updates für die betroffenen Android- und iOS-Applikationen bereit. Mit der Ende September für Android-Geräte bereitgestellten Version 2.18.302 und der am 1. Oktober veröffentlichten Version 2.18.93 für iPhones wurde die Sicherheitslücke geschlossen. WhatsApp empfiehlt sämtlichen Nutzern, die Versionsnummer der App auf dem eigenen Smartphone zu überprüfen. Die Information findet sich in den Einstellungen unter der Kategorien „Hilfe“. Ist noch eine ältere Version installiert, rät das Unternehmen dringend, Updates aus Googles Play Store und Apples App Store zu beziehen.
Ob die Sicherheitslücke je ausgenutzt wurde, ist indes nicht bekannt. Bisher liegen jedoch nach eigenen Angaben weder Project Zero noch WhatsApp selbst Informationen vor, die auf einen erfolgten Angriff hindeuten.