Schwachstelle in WhatsApps Gruppenchat entdeckt

Schwachstelle schon im Sommer gemeldet

Check Point Research hatte die Schwachstelle bereits im Sommer entdeckt und seine Ergebnisse am 28. August 2019 an das WhatsApp-Bug-Bounty-Programm weitergegeben. WhatsApp bestätigte die Ergebnisse und entwickelte einen Fix zur Behebung des Problems, der seit WhatsApp Versionsnummer 2.19.58 verfügbar ist. «WhatsApp hat schnell und verantwortungsbewusst reagiert, um den Schutz gegen die Ausnutzung dieser Schwachstelle zu gewährleisten», lobt Vanunu die WhatsApp-Entwickler.
Gemäss Ehren Kret, Software Engineer bei WhatsApp habe man dieses Problem für alle WhatsApp-Applikationen Mitte September gelöst. «Wir haben auch kürzlich neue Kontrollen hinzugefügt, um zu verhindern, dass Personen unerwünscht zu Gruppen hinzugefügt werden, um die Kommunikation mit nicht vertrauenswürdigen Parteien insgesamt zu vermeiden», fügt er an.

Kommunikation zwischen App und Web untersucht

Das Check-Point-Research-Team fand die Schwachstelle, indem es die Kommunikation zwischen WhatsApp und WhatsApp Web, der Webversion der App, untersuchte. Letztere spiegelt alle vom Telefon des Benutzers gesendeten und empfangenen Nachrichten. Auf diese Weise konnten die Forscher die für die WhatsApp-Kommunikation verwendeten Parameter sehen und manipulieren. Diese neue Untersuchung baut auf den von Check Point Research entdeckten 'FakesApp'-Fehlern auf, die es ermöglichten, Gruppen-Chat-Nachrichten zu bearbeiten, um Fake News zu verbreiten.
Wie der Angriff funktioniert, zeigt folgendes Video:
Weitere Details zur WhatsApp-Schwachstelle haben die Virenjäger von Check Point in diesem Dokument zusammengefasst.
Seite 2/2
Auf einer Seite lesen
  1. Schwachstelle in WhatsApps Gruppenchat entdeckt
  2. Schwachstelle schon im Sommer gemeldet
Artikel drucken
Jens Stark
Das könnte Sie auch interessieren
WebGPU vor 1 Tag
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
vor 1 Tag
Betrugsversuch vor 2 Tagen
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
vor 2 Tagen
World Cybercrime Index vor 5 Tagen
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend.
 
vor 5 Tagen
BFU 09.04.2024
Tour de Suisse Rad AG ruft diverse Velos und E-Bikes wegen Unfallgefahr zurück
In Zusammenarbeit mit der BFU, Beratungsstelle für Unfallverhütung, ruft die Tour de Suisse Rad AG diverse Velos und E-Bikes zurück. Es besteht eine Unfallgefahr.
 
09.04.2024