WhatsApp Web war kurzzeitig Einfallstor für Schadcode

Vor einigen Monaten hatte WhatsApp nach sehr lange Entwicklungszeit und zahlreichen Forderungen der Nutzer endlich den Browser-Client des Messengers unter dem Namen WhatsApp Web freigegeben. Der Dienst selbst ist mit großer Freude angenommen worden, aber wie das nun mal so ist, gibt es noch etliche Lücken in der Sicherheit wie sich jüngst zeigte.

Keine Frage: WhatsApp bequem am Desktop-Rechner nutzen zu können ist dank der Tastatur gerade bei viel Text eine echte Hilfe und eine mittlerweile sehr beliebte Funktion. Jedoch war WhatsApp Web (zum Beitrag) bis vor kurzem noch mit einer größeren Sicherheitslücke behaftet, welche auf eine unerfreulich einfache Art und Weise das Einschleusen von schadhaftem Code ermöglichte. Alles was man dazu brauchte war eine manipulierte digitale Visitenkarte.

Manipuliertes WhatsApp Web

Schickte ein Angreifer eine sogenannte vCard mit manipuliertem Code, lies sich genau auf diesem Weg WhatsApp Web zum Verteilen von Malware ausnutzen. Alles was man dazu brauchte war die Mobilfunknummer des Opfers. Mittlerweile haben die Entwickler die Lücke geschlossen und Angreifer können keine manipulierten vCard-Dateien mehr versenden. Im Normalfall sollte es reichen, wenn man den Tab oder das Browser-Fenster mit WhatsApp Web einmal neu laden lässt, damit die Web-App einmal komplett neu geladen wird.

Ob die Lücke von WhatsApp Web bereits aktiv ausgenutzt wurde geht aus dem Bericht von Check Point nicht hervor. Interessant ist dabei, wie der Entdecker Kasif Dekel vorgegangen ist: Er habe einfach das XMPP-Protokoll von WhatsApp Web so verändert, dass er eine vCard mit der Dateiendung .bat verschicken konnte, welche wiederum selbst (fast) beliebigen Code über eine versteckte Anweisung nachladen kann.

Auf diese Weise gelangte bei seinen Tests eine als EXE-Datei verpackte vCard auf dem Rechner des Versuchsopfers, da WhatsApp Web das korrekte Format der vCard nicht überprüft hatte. Mittlerweile ist besagte Lücke wie gesagt geschlossen, da die Browser-Version von WhatsApp – welches nebenbei erwähnt von über 900 Millionen aktiven Nutzern verwendet wird – eine Server-seitige Anwendung ist.

Der Vorfall zeigt einmal mehr, dass man nicht jede Datei annehmen sollte ohne diese zu hinterfragen – Erst recht wenn sie von einem unbekannten Kontakt kommt. Es zeigt aber auch, dass selbst einfache Web-Apps ein großes potentielles Sicherheitsrisiko darstellen, welches im Gegenzug zu Smartphone-Apps relativ schnell und vor allem zeitnah behoben werden kann.

Trotzdem bleibt ein fahler Beigeschmack übrig.

[Quelle: Check Point]