Mit einem einzigen Videoanruf könnte ein Angreifer eine Sicherheitslücke ausnutzen, die im Code des Messengers WhatsApp schlummerte. Googles Project Zero, ein Team von Elite-Hackern hat diesen Fehler entdeckt und jetzt veröffentlicht – eine Woche nachdem WhatsApp eine fehlerbereinigte iOS-Version bereit gestellt hatte. Das fällige Android-Update gibt es bereits seit 28. September.
Der Fehler steckt in der Speicherverwaltung des Video-Conferencings. Ein speziell präpariertes RTP-Paket kann die so durcheinanderbringen, dass der Absender eigenen Code einschleusen und damit das Smartphone kapern kann. Natali Silvanovich vom Project Zero hat den Fehler entdeckt und dokumentiert ihn mit einem Beispiel-Exploit, der WhatsApp kontrolliert zum Absturz bringen kann. Das ist die gängige Methode, Fehler der allerobersten Kategorie zu demonstrieren.
Jetzt checken und updaten
Es ist damit zu rechnen, dass böswillige Hacker den harmlosen Demo-Exploit recht schnell so ausbauen können, dass er etwa Spionage-Software auf dem Gerät installiert. Deshalb sollten alle WhatsApp-Nutzer jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Aktuell ist für iPhones WhatsApp 2.18.93 und bei Android Version 2.18.302 (beziehungsweise 2.18.306 in Googles Play Store). Die aktuell installierte Version findet man unter "Einstellungen/Hilfe" oben im Kopf der Seite.
Quelle: Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer |
heise Security