Sicherheitsforscher von Check Point Software Technologies enthüllten eine Schwachstelle in der Online-Plattform WhatsApp Web. Angreifer, die diese Schwachstelle ausnutzten, konnten Nutzerkonten vollständig übernehmen und auf die persönlichen Gespräche und Gruppenunterhaltungen, Fotos, Videos und andere geteilte Dateien, Kontaktlisten und sonstige Daten zugreifen.

Check Point entdeckt Sicherheitslücke bei WhatsApp

Die Schwachstelle ermöglicht dem Angreifer, Schadcode an sein Opfer zu senden, der sich in einem harmlos aussehenden Bild verbirgt. Sobald der Nutzer das Bild anklickt, bekommt der Angreifer vollen Zugriff auf die Speicherdaten von WhatsApp des Opfers, was ihm wiederum vollen Zugriff auf den Account des Opfers gewährt. Der Angreifer kann die bösartige Datei dann an alle Kontakte des Opfers senden und so möglicherweise einen zielgerichteten Angriff starten.

Check Point leitete diese Informationen am 8. März an das Sicherheitsteam von WhatsApp weiter. WhatsApp hat das Sicherheitsproblem bestätigt und einen Fix für Webkunden in aller Welt entwickelt.

WhatsApp nutzt Ende-zu-Ende-Mitteilungsverschlüsselung als Massnahme zur Datensicherung. Dadurch wird gewährleistet, dass nur diejenigen die Nachrichten lesen können, die miteinander kommunizieren, aber niemand dazwischen. Doch genau diese End-to-End-Verschlüsselung war auch der Ursprung dieser Schwachstelle. Da Mitteilungen seitens des Absenders verschlüsselt wurden, konnte WhatsApp den Inhalt nicht sehen und war damit nicht in der Lage zu verhindern, dass bösartiger Inhalt versendet wurde. Nachdem die Schwachstelle behoben ist, wird der Inhalt nun vor der Verschlüsselung validiert. Auf diese Weise können bösartige Dateien blockiert werden.