Eine Lücke bei WhatsApp Web und Telegram Web erlaubt es Angreifern, die Web-Sessions der Messenger zu kapern. Auf diesem Wege können sie Nachrichten mitlesen, Adressbücher kopieren und Schadcode an Kontakte verschicken.
Eine mittlerweile geschlossene Schwachstelle in den Web-Oberflächen der Messenger WhatsApp und Telegram erlaubte es Angreifern, die Kontrolle über die im Browser laufenden Chat-Instanz zu übernehmen. So konnten sie die Nachrichten des Opfers lesen, auf sein Adressbuch zugreifen und von dort aus die Konten seiner Kontakte angreifen, wenn diese den Messenger ebenfalls im Browser nutzen.
Entdeckt wurde die Lücke von Forschern der Sicherheitsfirma Check Point, die mit den Messenger-Entwicklern zusammenarbeiteten, um die Schwachstellen schließen zu lassen. Man meldete Details der Lücke am 8. März an die betroffenen Messenger und WhatsApp behob das Problem innerhalb von 24 Stunden. Telegram benötigte etwas länger, reagierte aber ebenfalls zügig mit einem Fix.
Ende-zu-Ende-Verschlüsselung nicht geknackt
Die Ende-zu-Ende-Verschlüsselung beider Messenger ist von dem Angriff nicht betroffen. Sie musste dazu nicht geknackt werden, da sie bei beiden Chat-Systemen auf dem Mobilgerät des Anwenders terminiert wird. Zwischen Mobilgerät und Browser wird im Anschluss eine weitere gesicherte Verbindung aufgebaut, falls der Anwender WhatsApp Web nutzen will. In Telegram Web stehen die verschlüsselten Chats nicht zur Verfügung.
Bei der Lücke handelt es sich um einen Fehler bei der Validierung von Dateitypen. Sowohl WhatsApp als auch Telegram überprüfen beim Hochladen eines Bildes nicht korrekt, ob es sich auch wirklich um eine Bilddatei handelt. So konnten die Sicherheitsforscher als Bilddatei getarnten HTML-Code hochladen, der beim Öffnen ausgeführt wird und die Session der Web-App kapert. Um die Lücke auszunutzen muss ein Angreifer das Opfer also dazu kriegen, eine bösartige Datei in einen Chat zu laden.
Die Verschlüsselung tarnt den Schadcode
Da Dateien auf dem Endgerät Ende-zu-Ende verschlüsselt werden, bevor sie auf die WhatsApp-Server geladen werden, kann WhatsApp ab diesem Punkt nicht mehr in den Inhalt der bösartigen Datei gucken und hat keine Chance, den Schadcode zu entdecken. Telegram könnte dies bei seinen unverschlüsselten Chats zwar prüfen, tat es aber offensichtlich nicht.
Öffnet der Empfänger die Payload des Angreifers im Web-Client des Messengers, wird diese ausgeführt und die Session ist unter der Kontrolle des Angreifers. Von da aus kann er sich dann auf dem selben Wege durch die Kontakte des Opfers hangeln – allerdings gelingt der Angriff nur, wenn der Empfänger das angebliche Bild im Web-Interface öffnet.
Wie schütze ich mich?
Wer lediglich die Smartphone-Apps der beiden Messenger benutzt, ist nach aktuellem Kenntnisstand auf der sicheren Seite. Wer in der Vergangenheit WhatsApp Web oder Telegram Web genutzt hat, besitzt auf dem Smartphone unter Umständen nach wie vor eine authentifizierte Session mit einem Browser. Wer Missbrauch befürchtet, kann diese Session in den Einstellungen beider Messenger auf dem Handy beenden. Dann können die Browser-Instanzen des Messengers nicht mehr mit dem eigenen Konto kommunizieren.
Wichtig ist, dass man sich allein auf die auf dem Smartphone angezeigten Informationen verlässt. Ist die Web-App gekapert, kann der Angreifer die im Browser angezeigten Inhalte manipulieren. Angesichts der Tatsache, dass die Lücken bereits geschlossen wurden, sind solche Art Angriffe im Moment wohl aber eher nicht zu befürchten.
Web-Apps und Browser als Risikofaktor
Trotzdem zeigen die von Check Point entdeckten Lücken deutlich, wie die Web-Oberflächen der beiden Messenger deren Sicherheit verringern können. Auch wenn die Ende-zu-Ende-Verschlüsselung nach wie vor intakt ist, kann ein Angreifer, der das Endgerät kontrolliert, dort die unverschlüsselten Nachrichteninhalte abgreifen. Und da Browser und Web-Apps immer wieder Schwachstellen aufweisen, eignen sie sich als Zielpunkt solcher Angriffe. Wer dieses Risiko nicht eingehen will und darauf Wert legt, die Angriffsfläche seiner verschlüsselten Konversationen zu verringern, bleibt vielleicht lieber bei den Smartphone-Apps.
Update: 15.03.2017, 14:25 Uhr
Meldung angepasst, damit diese nicht den Eindruck erweckt, bei Telegram wären verschlüsselte Chats betroffen.
Update: 15.03.2017, 14:40 Uhr
Bei Telegram kann ein Angreifer, der die Web-Session des Nutzers gekapert hat, von dort aus auch etwaige Smartphone-Sessions abschalten. So kann er unter Umständen komplett die Kontrolle über das Konto des Opfers übernehmen. Bei WhatsApp ist das nicht möglich, da die Browser-Session immer direkt mit dem Mobilgerät kommunizieren muss.
Quelle; heise
Eine mittlerweile geschlossene Schwachstelle in den Web-Oberflächen der Messenger WhatsApp und Telegram erlaubte es Angreifern, die Kontrolle über die im Browser laufenden Chat-Instanz zu übernehmen. So konnten sie die Nachrichten des Opfers lesen, auf sein Adressbuch zugreifen und von dort aus die Konten seiner Kontakte angreifen, wenn diese den Messenger ebenfalls im Browser nutzen.
Entdeckt wurde die Lücke von Forschern der Sicherheitsfirma Check Point, die mit den Messenger-Entwicklern zusammenarbeiteten, um die Schwachstellen schließen zu lassen. Man meldete Details der Lücke am 8. März an die betroffenen Messenger und WhatsApp behob das Problem innerhalb von 24 Stunden. Telegram benötigte etwas länger, reagierte aber ebenfalls zügig mit einem Fix.
Ende-zu-Ende-Verschlüsselung nicht geknackt
Die Ende-zu-Ende-Verschlüsselung beider Messenger ist von dem Angriff nicht betroffen. Sie musste dazu nicht geknackt werden, da sie bei beiden Chat-Systemen auf dem Mobilgerät des Anwenders terminiert wird. Zwischen Mobilgerät und Browser wird im Anschluss eine weitere gesicherte Verbindung aufgebaut, falls der Anwender WhatsApp Web nutzen will. In Telegram Web stehen die verschlüsselten Chats nicht zur Verfügung.
Bei der Lücke handelt es sich um einen Fehler bei der Validierung von Dateitypen. Sowohl WhatsApp als auch Telegram überprüfen beim Hochladen eines Bildes nicht korrekt, ob es sich auch wirklich um eine Bilddatei handelt. So konnten die Sicherheitsforscher als Bilddatei getarnten HTML-Code hochladen, der beim Öffnen ausgeführt wird und die Session der Web-App kapert. Um die Lücke auszunutzen muss ein Angreifer das Opfer also dazu kriegen, eine bösartige Datei in einen Chat zu laden.
Die Verschlüsselung tarnt den Schadcode
Da Dateien auf dem Endgerät Ende-zu-Ende verschlüsselt werden, bevor sie auf die WhatsApp-Server geladen werden, kann WhatsApp ab diesem Punkt nicht mehr in den Inhalt der bösartigen Datei gucken und hat keine Chance, den Schadcode zu entdecken. Telegram könnte dies bei seinen unverschlüsselten Chats zwar prüfen, tat es aber offensichtlich nicht.
Öffnet der Empfänger die Payload des Angreifers im Web-Client des Messengers, wird diese ausgeführt und die Session ist unter der Kontrolle des Angreifers. Von da aus kann er sich dann auf dem selben Wege durch die Kontakte des Opfers hangeln – allerdings gelingt der Angriff nur, wenn der Empfänger das angebliche Bild im Web-Interface öffnet.
Wie schütze ich mich?
Wer lediglich die Smartphone-Apps der beiden Messenger benutzt, ist nach aktuellem Kenntnisstand auf der sicheren Seite. Wer in der Vergangenheit WhatsApp Web oder Telegram Web genutzt hat, besitzt auf dem Smartphone unter Umständen nach wie vor eine authentifizierte Session mit einem Browser. Wer Missbrauch befürchtet, kann diese Session in den Einstellungen beider Messenger auf dem Handy beenden. Dann können die Browser-Instanzen des Messengers nicht mehr mit dem eigenen Konto kommunizieren.
Wichtig ist, dass man sich allein auf die auf dem Smartphone angezeigten Informationen verlässt. Ist die Web-App gekapert, kann der Angreifer die im Browser angezeigten Inhalte manipulieren. Angesichts der Tatsache, dass die Lücken bereits geschlossen wurden, sind solche Art Angriffe im Moment wohl aber eher nicht zu befürchten.
Web-Apps und Browser als Risikofaktor
Trotzdem zeigen die von Check Point entdeckten Lücken deutlich, wie die Web-Oberflächen der beiden Messenger deren Sicherheit verringern können. Auch wenn die Ende-zu-Ende-Verschlüsselung nach wie vor intakt ist, kann ein Angreifer, der das Endgerät kontrolliert, dort die unverschlüsselten Nachrichteninhalte abgreifen. Und da Browser und Web-Apps immer wieder Schwachstellen aufweisen, eignen sie sich als Zielpunkt solcher Angriffe. Wer dieses Risiko nicht eingehen will und darauf Wert legt, die Angriffsfläche seiner verschlüsselten Konversationen zu verringern, bleibt vielleicht lieber bei den Smartphone-Apps.
Update: 15.03.2017, 14:25 Uhr
Meldung angepasst, damit diese nicht den Eindruck erweckt, bei Telegram wären verschlüsselte Chats betroffen.
Update: 15.03.2017, 14:40 Uhr
Bei Telegram kann ein Angreifer, der die Web-Session des Nutzers gekapert hat, von dort aus auch etwaige Smartphone-Sessions abschalten. So kann er unter Umständen komplett die Kontrolle über das Konto des Opfers übernehmen. Bei WhatsApp ist das nicht möglich, da die Browser-Session immer direkt mit dem Mobilgerät kommunizieren muss.
Quelle; heise
