Ein Informatiker hat eine Sicherheitslücke entdeckt, die WhatsApp Web betrifft und Hackern den Zugriff auf Daten auf Ihrem PC ermöglicht. Wie Sie sich schützen können
Die Verwendung von WhatsApp Web auf einem Windows-PC oder Mac zum Austausch von Nachrichten mit einem WhatsApp-Nutzer auf einem iPhone ist keine unwahrscheinliche Möglichkeit, aber offensichtlich nicht ohne Risiko. Entdeckt wurde dies von Gal Weizman, einem Programmierer und Forscher bei PerimeterX.
Weizman entdeckte eine Schwachstelle in WhatsApp Web, klassifiziert als CVE-2019-18426, die es einem böswilligen Nutzer ermöglicht hätte, Dateien auf dem Computer des Opfers über einen in einer WhatsApp-Nachricht gesendeten Link aus der Ferne zu lesen. Facebook bestätigte die Schwachstelle und gab an, dass sie nur WhatsApp-Webversionen vor 0.3.9309 betrifft, wenn sie mit WhatsApp-iPhone-Versionen vor 2.20.10 interagieren, und veröffentlichte einen Fix. Um einem Hacker "Tür und Tor zu öffnen", musste er nur auf einen Link klicken, den er über WhatsApp erhalten hatte.
Schwachstelle WhatsApp Web
Weizman erklärte, dass er in der Lage war, einen Cross-Site-Angriff (XSS) durchzuführen und auch die Content Security Policy (CSP) von WhatsApp zu umgehen und so Dateien auf dem entfernten Computer (sowohl auf Windows als auch auf Mac) zu lesen. Ein XSS-Angriff ermöglicht es einem Hacker, aus der Ferne bösartigen Code im Browser des Benutzers auszuführen und auf dessen Daten zuzugreifen. Weizman war auch in der Lage, Nachrichten zu manipulieren, die von WhatsApp Web als Antwort auf andere empfangene Nachrichten gesendet wurden, insbesondere solche, die eine Linkvorschau enthielten. So gelang es ihm, den gefährlichen Link zu verschicken, ohne dass der Nutzer etwas bemerken konnte.
Was ist in Gefahr?
Wizman entdeckte diesen schwerwiegenden WhatsApp-Web-Bug Ende 2019 und reichte ihn bei Facebook ein, um die Belohnung des Kopfgeldprogramms des Unternehmens zu erhalten. Facebook hatte keine andere Wahl, als den Fehler zuzugeben und ihn zu beheben, indem es dem Forscher einen Scheck über 12.500 Dollar ausstellte. Der Fehler wurde am 21. Januar 2020 behoben, und Weizman konnte seine Entdeckung bald darauf der Weltöffentlichkeit mitteilen. So funktionieren Bounty-Programme: Wer eine Schwachstelle entdeckt, vermeidet es, sie öffentlich zu machen und teilt sie nur dem Unternehmen mit, das die Software mit dem Fehler herstellt. Innerhalb kurzer Zeit löst das Unternehmen, in diesem Fall Facebook, das Problem und bedankt sich mit einer finanziellen Belohnung bei denjenigen, die den Fehler entdeckt und auf die Veröffentlichung des Patches gewartet haben, bevor sie öffentlich darüber sprachen.