Kontoklau möglich: Whatsapp und Telegram schlossen Sicherheitslücken

15. März 2017, 15:44
2 Postings

Leck in Browser-Oberfläche ermöglichte Angriff mit bösartiger Datei

Die Betreiber der Messenger Whatsapp und Telegram haben vor kurzem ein schweres Sicherheitsleck geschlossen. Diese ermöglichte es, mittels einer manipulierten Bild- oder Videodatei einen Angriff auszuführen.

Accountübernahme bei Telegram möglich

Die Gefahrenlage unterschied sich dabei zwischen den beiden Messengern und betraf in beiden Fällen nicht die Smartphone-Apps, sondern die Browser-Oberfläche. Während bei Whatsapp im schlimmsten Fall die aktuelle Sitzung eines Opfers übernommen werden konnte, war bei Telegram sogar der Diebstahl des Kontos möglich, berichtet Checkpoint Security.

Dies liegt daran, dass dieser Dienst mit einem Accountsystem arbeitet, statt sich ausschließlich auf die Telefonnummer der Nutzer zu stützen. Daher kann die Weboberfläche auch ohne Smartphone-Verbindung genutzt werden, während sie bei Whatsapp vom Telefon "gespiegelt" wird.

check point software technologies, ltd.

Angriff mit bösartiger Datei

Zur Ausnutzung des Fehlers musste ein Angreifer eine HTML-Datei mit Schadcode in einen Chat hochladen. Die Datei selbst wurde auch mit ".html"-Endung versandt, aufgrund eines Fehlers im Prüfmechanismus von den beiden Messengern allerdings nicht blockiert. In Telegram wurde sie als Video dargestellt, sofern ein solches in den Code eingebettet war, bei Whatsapp ließ sich eine Bildvorschau triggern.

Öffnete das Opfer die Datei im Browser-Interface, konnte der Angreifer dessen Sitzung übernehmen und dabei etwa auch Einsicht in die Kontaktliste und Chats nehmen, in dessen Namen schreiben oder bösartige Dateien und gefährliche Links verschicken. Im Falle von Whatsapp ließ sich auch die Warnmeldung unterdrücken, die auftaucht, wenn mehr als eine Browser-Sitzung gleichzeitig ausgeführt wird.

check point software technologies, ltd.

Verschlüsselung nicht betroffen

Bei Telegram war Seitens des Opfers ein weiterer Schritt notwendig, nämlich die Datei in einem neuen Tab zu öffnen – wozu der Angreifer etwa mit einem entsprechenden Link verleiten konnte, der nach Abspielen des Videos auftauchte.

Die Verschlüsselung der beiden Messenger ist von der Schwachstelle nicht betroffen. Diese ermöglichte in diesem Fall sogar die Tarnung der schädlichen Inhalte vor den Diensten.

Whatsapp und Telegram reagieretn schnell

Checkpoint arbeitet mit beiden Firmen zusammen und hat sie am 7. März von der Schwachstelle in Kenntnis gesetzt. Sowohl Whatsapp, als auch Telegram, haben das Leck kurz darauf beseitigt.

Nutzer, die noch ältere Chat-Sessions geöffnet haben, sollten diese sicherheitshalber beenden und neu starten, um auf jeden Fall mit der neuesten Version der Browseroberfläche zu arbeiten. Eine detaillierte Erklärung der nunmehr behobenen Lücke haben die Sicherheitsforscher in ihrem Blog publiziert. (gpi, 15.03.2017)

Share if you care.