WhatsApp: Vom Web-Client verschickte Nachrichten manipulierbar

  • Allgemein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • WhatsApp: Vom Web-Client verschickte Nachrichten manipulierbar

    Ein Man-in-the-Middle, der sich in zwischen Smartphone und Browser einklinkt, kann den Web-Client des Messengers angreifen und Nachrichten manipulieren.

    Trotz der Ende-zu-Ende-Verschlüsselung von WhatsApp kann ein Angreifer unter bestimm-ten Umständen Nachrichten manipulieren, wenn er sich in den sicheren Kommunikations-kanal des Messengers einklinkt. Der Web-Client des Krypto-Messengers ist hier besonders angreifbar.
    Sicherheitsforscher zeigen jetzt, wie so ein Angriff vonstatten gehen könnte. Es gelang ihnen, über eine Schwachstelle im Web-Client von WhatsApp Nachrichten falsch zu zitieren und Chat-Mitgliedern Nachrichten im Namen des Handy-Besitzers zu schicken. WhatsApp sieht die Lücke als nicht reparabel.

    Man-in-the-Middle manipuliert Nachrichten

    Um den von den Forschern der Sicherheitsfirma Check Point entdeckten Angriff umzusetzen, muss der Angreifer es schaffen, dass das Opfer sein Handy mit einem Browser koppelt. Er muss sich außerdem als Man-in-the-Middle in den Datenverkehr vom Browser zum Smartphone einklinken – am wahrscheinlichsten ist es, wenn er das Netzwerk kontrolliert, in dem sich das Opfer befindet.
    Bei der Kopplung von Handy und Web-Browser per QR-Code gelingt es den Forschern demnach, ein Geheimnis auszulesen, das zwischen den beiden Endpunkten ausgetauscht wird. Im Zusammenhang mit einer Extension des von WhatsApp genutzen Protokolls protobuf2 können sie dann Daten mitlesen.
    Check Point: Den Forschern gelang es, Geheimnisse aus dem Traffic zwischen Browser und Smartphone auszulesen.
    Daraus folgt, dass die Forscher unter bestimmten Bedingungen Nachrichten manipulieren können. So können sie etwa eine von dem Handy verschickte Nachricht falsch zitieren. In einem Gruppenchat muss die zitierte Person dafür kein Mitglied der Gruppe sein. Außerdem können sie eine Nachricht verschicken, die für den Empfänger wie eine Gruppennachricht an alle Mitglieder einer Gruppe aussieht – in Wirklichkeit ging die Nachricht aber nur an den Empfänger. Damit lässt sich allerhand Schabernack treiben. Auch Betrugsversuche werden so möglich.

    Um es deutlich zu sagen: WhatApp sichert die Kommunikation zwischen zwei Smartphones mit Ende-zu-Ende-Verschlüsselung die auf der Höhe der Technik und nach aktuellem Wissensstand sicher ist.
    Wird der Web-Client aktiviert und mit einem Smartphone gekoppelt, landen die Ende-zu-Ende-verschlüsselten Nachrichten nach wie vor auf dem Smartphone, werden aber von da an den Browser weitergereicht. Dieser Kanal ist vom Smartphone zum Browser ist ebenfalls verschlüsselt.
    Grundsätzlich haben sowohl Browser als auch Smartphone das Problem, dass ein Angreifer, der das Endgerät kontrolliert, die entschlüsselten Daten mitlesen kann. Im aktuellen Fall zeigen die Forscher allerdings, dass ein Browser auf Grund seiner höheren Angriffsfläche auch mehr Möglichkeiten bietet, die Verschlüsselung zu umgehen.
    WhatsApp will nicht reagieren

    WhatsApp will nicht reagieren

    Laut Check Point habe man die WhatsApp-Macher im Vorfeld über die Erkenntnisse der Forscher informiert. Die Firma sieht in dem Problem allerdings keine Sicherheitslücke. Gegenüber der New York Times sagte ein Sprecher von WhatsApp, man könne die Manipulationen nicht verhindern, da man sonst jedes einzelne Zitat überprüfen müsse. Laut WhatsApp würde das die Infrastruktur des Dienstes überlasten.
    Außerdem erzeugte solch eine Prüfung wiederum ein riesiges Problem für die Privatsphäre der Nutzer. "Wir haben uns das Problem genau angeschaut. Das ist das Äquivalent dessen, als würde man eine E-Mail manipulieren", so ein WhatsApp-Sprecher gegenüber der Times. Das Problem habe nichts mit der Ende-zu-Ende-Verschlüsselung zu tun.

    WhatsApp-Nutzer, die auf Nummer Sicher gehen wollen, sollten vielleicht auf die Nutzung des Web-Clients verzichten. Verbindungen von Smartphone zu Smartphone sollten nicht betroffen sein. Unabhängig von der jetzt veröffentlichten Sicherheitslücke sollten Nutzer, denen es vor allem auf sichere Verschlüsselung ankommt, den Web-Client von WhatsApp nur in Netzwerken und auf Systemen verwenden, denen sie vertrauen. Wer den Web-Client gar nicht benutzt, verringert natürlich entsprechend seine Angriffsfläche.

    Quelle: WhatsApp: Vom Web-Client verschickte Nachrichten manipulierbar | heise Security
  • WhatsApp-Schwachstelle erlaubt Manipulation von Textnachrichten
    Mögliche Angriffsmöglichkeiten sind unter anderem die Veränderungen von versendeten Nachrichten durch andere Personen oder die Manipulation von WhatsApp-Gruppen.
    von Claudia Maag08.08.2018

    WhatsApp hat offenbar eine Schwachstelle. Dies schreibt Check Point in einer Mitteilung. Das Research-Team nennt sie «FakesApp». Beim Test gelang es Check Point laut eigenen Angaben, WhatsApp-Nachrichten von Usern zu manipulieren.

    Aktuell werde noch an einer Schliessung der Schwachstelle gearbeitet. Rund 1,5 Milliarden Personen nutzten im Januar die Facebook-eigene Messaging-Anwendung WhatsApp. 65 Milliarden Nachrichten werden pro Tag verschickt.

    Betroffen seien alle WhatsApp-Nutzer weltweit. Besonders in WhatsApp-Gruppen böten sich zahlreiche Betrugsmöglichkeiten. Man schätze, dass es aktuell mehr als 1 Milliarde solcher Gruppen gibt.

    Im Rahmen der Untersuchung wurden drei Angriffsmöglichkeiten gezeigt:
    • Die Veränderung einer gesendeten Antwort, sodass dem Absender falsche Worte in den Mund gelegt werden.
    • Abgabe einer gefälschten Antwort in einem Gruppenchat. Die zitierte Person muss dabei nicht einmal in der Gruppe Mitglied sein.
    • Versendung einer persönlichen Nachricht in einem Gruppenchat, die für den Empfänger wie eine Gruppennachricht an alle Mitglieder aussieht – jedoch nur für ihn sichtbar ist. Antwortet diese Person aber auf die gefälschte Nachricht, ist seine Antwort für alle Gruppenmitglieder sichtbar.
    Check Point fand die Schwachstelle über WhatsApp Web und konnte dort Details zur Verschlüsselung ausspähen sowie private und öffentliche Schlüssel herausfinden. Zwar startete der Angriff über WhatsApp Web, für die Opfer sei die genutzte Plattform aber kein Faktor. Die User der Mobile-App sind ebenfalls betroffen.

    WhatApp wurde informiert

    Wie Check Point schreibt, hat man WhatsApp über die Schwachstelle informiert. Aktuell werde an einer Schliessung der Schwachstelle gearbeitet.


    Quelle: WhatsApp-Schwachstelle erlaubt Manipulation von Textnachrichten


    Laut diesem Bericht sind Nutzer der Mobile-App ebenfalls betroffen und es wird an der Schliessung der Schwachstelle gearbeitet. :/