WhatsApp und Telegram: Sicherheitslücke des Web-Interface behoben

WhatsApp und Telegram wiesen bis vor kurzem eine Sicherheitslücke auf, die Angreifer über das Browser-Interface der Messenger ausnutzen und so auf die Messenger-Daten des Nutzers zugreifen konnten. Für WhatsApp reichte ein als Bild getarnter HTML-Code. Bei Telegram war das Kapern schwieriger.

Das auf Sicherheitstechnologie spezialisierte Unternehmen Check Point Software Technologies macht im hauseigenen Blog auf das Problem aufmerksam. Beide Dienste seien am 8. März über die Sicherheitslücke informiert worden, worauf sowohl WhatsApp als auch Telegram das Validierungsprotokoll für Datei-Uploads änderten und die Lücke damit schlossen.

WhatsApp-Nutzer muss manipulierte Bilddatei öffnen

Um das Sicherheitsleck bei WhatsApp ausnutzen zu können, musste der Anwender im Web-Interface des Messengers ein manipuliertes Bild öffnen, das er von einem anderen Nutzer zugesandt bekam. Check Point konnte eine Bilddatei erstellen, die in der Preview-Ansicht normal erschien, jedoch schädlichen HTML-Code enthielt. Wer auf das Bild klickte, wurde auf eine Malware-Website weitergeleitet, die umgehend auf alle WhatsApp-Daten des Anwenders zugriff. Zu den betroffenen Inhalten gehörten WhatsApp-Nachrichten, die Chat-History und alle geteilten Dateien.

Die Ende-zu-Ende-Verschlüsselung des Messengers könnte den Angriff vereinfacht haben, da WhatsApp dadurch mitgeschickte Dateien nicht bezüglich eines eventuell vorhandenen Schadcodes prüfen kann.

Ein Unternehmenssprecher von WhatsApp versicherte gegenüber The Verge die Beseitigung des Fehlers: „Als Check Point die Sicherheitslücke mitteilte, kümmerten wir uns binnen eines Tages darum und aktualisierten die Web-App.“ Wenn Nutzer sichergehen wollen, dass sie die neueste Version des Web-Interface verwenden, sollen sie den Browser neu starten und die WhatsApp-Oberfläche erneut aufrufen.

Telegram-Anwender muss Video abspielen und neuen Tab öffnen

Angreifer hatten es bei Telegram nicht ganz so leicht. Der Nutzer musste erst ein manipuliertes Video starten und dann per Rechtsklick auf den laufenden Clip die Option „In einem neuen Tab öffnen“ anwählen. Erst dadurch konnte der jeweilige Telegram-Account gekapert werden. Zudem griff die Vorgehensweise nur in Google Chrome. Weder andere Browser noch die Desktop-App waren betroffen. Kurze Zeit nach Bekanntwerden der Lücke behob Telegram den Fehler durch ein Update des Web-Interface.

Der Messenger-Anbieter kritisiert die Berichterstattung von Check Point als PR-orientiert und wirft dem Sicherheitsunternehmen vor, fälschlicherweise vom gleichen Problem wie bei WhatsApp gesprochen zu haben. Dabei seien, anders als bei WhatsApp, „sehr ungewöhnliche Aktionen“ vonnöten gewesen, um Telegram kompromittieren zu können.