Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.682.387 Produkten

Fabian A. Scherschel 70

Schwere Sicherheitslücke in den Web-Oberflächen von WhatsApp und Telegram geschlossen Update

Schwere Sicherheitslücke in den Web-Oberflächen von WhatsApp und Telegram

Lücken bei WhatsApp Web und Telegram Web erlauben es Angreifern, die Web-Sessions der Messenger zu kapern. Auf diesem Wege können sie Nachrichten mitlesen, Adressbücher kopieren und Schadcode an Kontakte verschicken.

Mittlerweile geschlossene Schwachstellen in den Web-Oberflächen der Messenger WhatsApp und Telegram erlaubte es Angreifern, die Kontrolle über die im Browser laufenden Chat-Instanz zu übernehmen. So konnten sie die Nachrichten des Opfers lesen, auf sein Adressbuch zugreifen und von dort aus die Konten seiner Kontakte angreifen, wenn diese den Messenger ebenfalls im Browser nutzen.

Anzeige

Entdeckt wurde die Lücke von Forschern der Sicherheitsfirma Check Point, die mit den Messenger-Entwicklern zusammenarbeiteten, um die Schwachstellen schließen zu lassen. Man meldete Details der Lücken am 8. März an die betroffenen Messenger und WhatsApp behob das Problem innerhalb von 24 Stunden. Telegram benötigte etwas länger, reagierte aber ebenfalls zügig mit einem Fix.

Die Ende-zu-Ende-Verschlüsselung von WhatsApp ist von dem Angriff nicht betroffen. Sie musste dazu nicht geknackt werden, da sie auf dem Mobilgerät des Anwenders terminiert wird. Zwischen Mobilgerät und Browser wird im Anschluss eine weitere gesicherte Verbindung aufgebaut, falls der Anwender WhatsApp Web nutzen will. In Telegram Web stehen die verschlüsselten Chats nicht zur Verfügung, die Lücke in diesem Messenger bezieht sich also nur auf die Standard-Chats ohne Ende-zu-Ende-Verschlüsselung.

Bei beiden Lücken handelt es sich um Fehler bei der Validierung von Dateitypen. WhatsApp überprüft beim Hochladen eines Bildes nicht korrekt, ob es sich auch wirklich um eine Bilddatei handelt. So konnten die Sicherheitsforscher als Bilddatei getarnten HTML-Code hochladen, der beim Öffnen ausgeführt wird und die Session der Web-App kapert. Um die Lücke auszunutzen muss ein Angreifer das Opfer also dazu kriegen, eine bösartige Datei in einen Chat zu laden.

Die Lücke in Telegram betrifft Videodateien. Baut ein Angreifer Schadcode in ein Video ein und schafft es, sein Opfer dazu zu bewegen, das Video abzuspielen und auf dem laufenden Video dann per Rechtsklick "in neuem Tab öffnen" zu wählen, kann der Angreifer die Session kapern.

Da Dateien bei WhatsApp auf dem Endgerät Ende-zu-Ende verschlüsselt werden, bevor sie auf die Server geladen werden, kann WhatsApp ab diesem Punkt nicht mehr in den Inhalt der bösartigen Datei gucken und hat keine Chance, den Schadcode zu entdecken. Telegram könnte die Videos bei seinen unverschlüsselten Chats zwar prüfen, tat es aber offensichtlich nicht.

Öffnet der Empfänger die Payload des Angreifers im Web-Client des Messengers, wird diese ausgeführt und die Session ist unter der Kontrolle des Angreifers. Von da aus kann er sich dann auf dem selben Wege durch die Kontakte des Opfers hangeln – allerdings gelingt der Angriff nur, wenn der Empfänger das angebliche Bild oder Video im Web-Interface öffnet.

Wer lediglich die Smartphone-Apps der beiden Messenger benutzt, ist nach aktuellem Kenntnisstand auf der sicheren Seite. Wer in der Vergangenheit WhatsApp Web oder Telegram Web genutzt hat, besitzt auf dem Smartphone unter Umständen nach wie vor eine authentifizierte Session mit einem Browser. Wer Missbrauch befürchtet, kann diese Session in den Einstellungen beider Messenger auf dem Handy beenden. Dann können die Browser-Instanzen des Messengers nicht mehr mit dem eigenen Konto kommunizieren.

Anzeige

Wichtig ist, dass man sich allein auf die auf dem Smartphone angezeigten Informationen verlässt. Ist die Web-App gekapert, kann der Angreifer die im Browser angezeigten Inhalte manipulieren. Angesichts der Tatsache, dass die Lücken bereits geschlossen wurden, sind solche Art Angriffe im Moment wohl aber eher nicht zu befürchten. Außerdem ist das Angriffsszenario auf Telegram durch das komplizierte Öffnen im neuen Tab sehr unwahrscheinlich,

Trotzdem zeigen die von Check Point entdeckten Lücken deutlich, wie die Web-Oberflächen der beiden Messenger deren Sicherheit verringern können. Auch wenn die Ende-zu-Ende-Verschlüsselung nach wie vor intakt ist, kann ein Angreifer, der das Endgerät kontrolliert, dort die unverschlüsselten Nachrichteninhalte abgreifen. Und da Browser und Web-Apps immer wieder Schwachstellen aufweisen, eignen sie sich als Zielpunkt solcher Angriffe. Wer dieses Risiko nicht eingehen will und darauf Wert legt, die Angriffsfläche seiner verschlüsselten Konversationen zu verringern, bleibt vielleicht lieber bei den Smartphone-Apps.

Update: 15.03.2017, 14:25 Uhr

Meldung angepasst, damit diese nicht den Eindruck erweckt, bei Telegram wären verschlüsselte Chats betroffen.

Update: 15.03.2017, 14:40 Uhr

Bei Telegram kann ein Angreifer, der die Web-Session des Nutzers gekapert hat, von dort aus auch etwaige Smartphone-Sessions abschalten. So kann er unter Umständen komplett die Kontrolle über das Konto des Opfers übernehmen. Bei WhatsApp ist das nicht möglich, da die Browser-Session immer direkt mit dem Mobilgerät kommunizieren muss.

Update: 16.03.2017, 16:25 Uhr

Details zur Lücke in Telegram mit Informationen der Telegram-Entwickler angepasst. (fab)

70 Kommentare

Themen:

Anzeige
  1. Threema will Web-Client Anfang 2017 freischalten

    Threema will Web-Client Anfang 2017 freischalten

    Die Macher des Schweizer Krypto-Messengers Threema testen zurzeit ihren Web-Client. Die Variante für Android-Nutzer konnte heise online bereits kurz ausprobieren.

  2. Krypto-Messenger Threema jetzt im Web-Browser nutzbar

    Krypto-Messenger Threema nun im Browser nutzbar

    Der Ende-zu-Ende verschlüsselnde Messenger Threema bietet ab sofort einen Web-Client an. Threema-Nutzer mit Android-Smartphones können bereits Chats vom Browser aus führen, Unterstützung für weitere Betriebssysteme soll folgen.

  3. Messenger Telegram kann jetzt VoIP-Telefonate - mit Emoji-Verschlüsselung

    Telegram kann jetzt VoIP-Telefonate - mit Emoji-Verschlüssung

    Telegram unterstützt jetzt VoIP-Anrufe. Das Update wird gerade in Westeuropa eingeführt, weitere Regionen sollen folgen. Für die Verschlüsselung haben sich die Entwickler etwas Besonderes einfallen lassen.

  4. WhatsApp und Signal: Forscher beschreiben Schwächen verschlüsselter Gruppenchats

    WhatsApp

    Zwar ist die Ende-zu-Ende-Verschlüsselung bei WhatsApp und Signal sicher, das Drumherum lässt aber eventuell zu wünschen übrig. So wird ein von Spionen gekaperter Kontrollserver mitunter zur Schwachstelle.

  1. Whatsapp auf PC und Tablet, Backup und Alternativen

    WhatsApp

    WhatsApp informiert sehr ausführlich über seine Dienste, doch manche Fragen bleiben offen – zum Teil mit Absicht. Wir beantworten die häufigsten Fragen, unter anderem zur Nutzung auf dem PC und Tablet, sowie zu Backups, Preisen und Alternativen.

  2. Test: Hinter den Kulissen der WhatsApp-Verschlüsselung

    Test: Hinter den Kulissen der WhatsApp-Verschlüsselung

    WhatsApp verschlüsselt schon länger Ende-zu-Ende mit dem bei Krypto-Experten angesehenen Signal-Protokoll – jedenfalls manchmal. Verlassen konnte man sich darauf nicht. Wir versuchen die Frage zu beantworten, ob sich das geändert hat.

  3. WebRTC: Standard für die Web-basierte Echtzeitkommunikation

    WebRTC: Standard für die Web-basierte Echtzeitkommunikation

    Noch ist die erste Standardisierungsphase nicht abgeschlossen, doch schon sorgt WebRTC auf dem Markt für Web-basierte Echtzeitkommunikation für Aufsehen. Zeit für einen Artikel zu Geschichte, Technik und Standards.

  1. Fritzbox-Updates: Kommendes FritzOS 7 könnte zwei Router per Mesh-WLAN koppeln

    Fritzbox-Updates: FritzOS 7 könnte zwei Fritzboxen per Mesh-WLAN koppeln

    Der Routerhersteller AVM erwägt, die Mesh-Funktionen im erwarteten FritzOS 7 weiter auszubauen, um entfernte Geräte via Mesh anzukoppeln. Das erklärte die Firma im Rahmen einer Stellungnahme zu einem missverständlichen Facebook-Posting.

  2. PC-Anforderungen von Final Fantasy XV: Über 155 GByte Speicher, 16 GByte RAM, GTX 1080 Ti für 4K

    PC-Anforderungen von Final Fantasy XV: Über 155 GByte Speicher, 16 GByte RAM, GTX 1080 Ti für 4K, Benchmark-Tool am 1. Februar

    Für die PC-Version des Action-Rollenspiels Final Fantasy XV müssen wohl einige Spieler ihre SSDs oder Festplatten von unnötigem Ballast befreien: Das Spiel belegt in der 4K-Fassung über 155 GByte.

  3. Kabel-TV-Anbieter nehmen Volldigitalisierung in Angriff

    Digitales Antennen-Fernsehen

    Die Umstellung auf Volldigitalisierung im Kabelnetz sorgt für schnelleres Internet und höhere Auflösung. Kabelbetreiber planen die Abschaltung des Analogsignals gleich in mehreren Bundesländern.

  4. Ärger über fehlendes Bug-Bounty-Programm: Sicherheitsforscher will Mac-Schwachstelle offenlegen

    MacBook

    Da Apple nur für iOS-Lücken Geld bezahlt, will ein Sicherheitsforscher Details zu einem Bug in macOS veröffentlichen – statt sie vorab an den Hersteller zu melden. Aus gleichem Grund gibt es bereits einen bislang ungefixten Zero-Day-Exploit für macOS.

Anzeige