Eine Sicherheitslücke in WhatsApp ermöglicht es, ein Smartphone mit einem einzigen Video-Call zu kapern. Potentiell betroffen sind Milliarden WhatsApp-Nutzer.
Mit einem einzigen Videoanruf könnte ein Angreifer eine Sicherheitslücke ausnutzen, die im Code des Messengers WhatsApp schlummerte. Googles Project Zero, ein Team von Elite-Hackern hat diesen Fehler entdeckt und jetzt veröffentlicht – eine Woche nachdem WhatsApp eine fehlerbereinigte iOS-Version bereit gestellt hatte. Das fällige Android-Update gibt es bereits seit 28. September.
Der Fehler steckt in der Speicherverwaltung des Video-Conferencings. Ein speziell präpariertes RTP-Paket kann die so durcheinanderbringen, dass der Absender eigenen Code einschleusen und damit das Smartphone kapern kann. Natalie Silvanovich vom Project Zero hat den Fehler entdeckt und dokumentiert ihn mit einem Beispiel-Exploit, der WhatsApp kontrolliert zum Absturz bringen kann. Das ist die gängige Methode, Fehler der allerobersten Kategorie zu demonstrieren.
Jetzt checken und updaten
Es ist damit zu rechnen, dass böswillige Hacker den harmlosen Demo-Exploit recht schnell so ausbauen können, dass er etwa Spionage-Software auf dem Gerät installiert. Deshalb sollten alle WhatsApp-Nutzer jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Aktuell ist für iPhones WhatsApp 2.18.93 und bei Android Version 2.18.302 (beziehungsweise 2.18.306 in Googles Play Store). Alle seit dem 28. September veröffentlichten Versionen sollten sicher sein. Die aktuell installierte findet man unter "Einstellungen/Hilfe" oben im Kopf der Seite.
Update 13:10, 10.10.2018: Manchen Benutzern bietet Googles Play Store lediglich die WhatsApp-Version 2.18.293 vom 24.09.2018 an. Gemäß den Angaben von Googles Project Zero müsste diese noch verwundbar sein. Davon betroffene Anwender können entweder die aktuelle Version direkt von WhatsApp beziehen; sie müssten dazu aber unter Umständen die Sicherheitseinstellung abschalten, die das Installieren von Apps aus unsicheren Quellen verbietet.
Das empfehlen wir nicht. Da bislang keine akuten Angriffe über diese Lücke bekannt sind, ist es besser, morgen noch einmal nachzuschauen, ob die neuere, abgesicherte Version im Play Store verfügbar ist. Bis dahin kann man sich schützen, indem man keine Video-Anrufe annimmt – jedenfalls nicht von Unbekannten.
Quelle; heise
WhatsApp: Sicherheitslücke gefährdet Smartphones, aktuelle Version dringend empfohlen
Der beliebte WhatsApp Messenger kämpft mit einer Sicherheitslücke, die es über einen Videoanruf ermöglicht, das Smartphone des Angerufenen zu kapern. Die Lücke wurde von Googles Project Zero entdeckt und natürlich auch WhatsApp vor Veröffentlichung gemeldet. Wer die aktuelle Version von WhatsApp einsetzt, ist daher auf der sicheren Seite.
Nutzer, die es nicht so mit Updates haben, sollten deshalb ruhig einmal schauen, mit welcher Version von WhatsApp sie unterwegs sind. Die aktuellen Versionen sind schon ein paar Tage alt, ist also tatsächlich nur für diejenigen interessant, die da etwas langsamer unterwegs sind.
Die Lücke lässt sich über einen Videoanruf ausnutzen, ausführbarer Code lässt sich so via WhatsApp auf das Smartphone schleusen und dieses letztendlich übernehmen. Die Lücke wurde demnach aber bislang noch nicht ausgenutzt.
Unter iOS ist die aktuelle sichere Version 2.18.93, für Android 2.18.302. Es versteht sich wohl von selbst, dass man die Updates aus sicheren Quellen, sprich aus dem Apple App Store, dem Google Play Store oder direkt von der WhatsApp-Seite laden sollte.
Quelle; Caschy
Mit einem einzigen Videoanruf könnte ein Angreifer eine Sicherheitslücke ausnutzen, die im Code des Messengers WhatsApp schlummerte. Googles Project Zero, ein Team von Elite-Hackern hat diesen Fehler entdeckt und jetzt veröffentlicht – eine Woche nachdem WhatsApp eine fehlerbereinigte iOS-Version bereit gestellt hatte. Das fällige Android-Update gibt es bereits seit 28. September.
Der Fehler steckt in der Speicherverwaltung des Video-Conferencings. Ein speziell präpariertes RTP-Paket kann die so durcheinanderbringen, dass der Absender eigenen Code einschleusen und damit das Smartphone kapern kann. Natalie Silvanovich vom Project Zero hat den Fehler entdeckt und dokumentiert ihn mit einem Beispiel-Exploit, der WhatsApp kontrolliert zum Absturz bringen kann. Das ist die gängige Methode, Fehler der allerobersten Kategorie zu demonstrieren.
Jetzt checken und updaten
Es ist damit zu rechnen, dass böswillige Hacker den harmlosen Demo-Exploit recht schnell so ausbauen können, dass er etwa Spionage-Software auf dem Gerät installiert. Deshalb sollten alle WhatsApp-Nutzer jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Aktuell ist für iPhones WhatsApp 2.18.93 und bei Android Version 2.18.302 (beziehungsweise 2.18.306 in Googles Play Store). Alle seit dem 28. September veröffentlichten Versionen sollten sicher sein. Die aktuell installierte findet man unter "Einstellungen/Hilfe" oben im Kopf der Seite.
Update 13:10, 10.10.2018: Manchen Benutzern bietet Googles Play Store lediglich die WhatsApp-Version 2.18.293 vom 24.09.2018 an. Gemäß den Angaben von Googles Project Zero müsste diese noch verwundbar sein. Davon betroffene Anwender können entweder die aktuelle Version direkt von WhatsApp beziehen; sie müssten dazu aber unter Umständen die Sicherheitseinstellung abschalten, die das Installieren von Apps aus unsicheren Quellen verbietet.
Das empfehlen wir nicht. Da bislang keine akuten Angriffe über diese Lücke bekannt sind, ist es besser, morgen noch einmal nachzuschauen, ob die neuere, abgesicherte Version im Play Store verfügbar ist. Bis dahin kann man sich schützen, indem man keine Video-Anrufe annimmt – jedenfalls nicht von Unbekannten.
Quelle; heise
WhatsApp: Sicherheitslücke gefährdet Smartphones, aktuelle Version dringend empfohlen
Der beliebte WhatsApp Messenger kämpft mit einer Sicherheitslücke, die es über einen Videoanruf ermöglicht, das Smartphone des Angerufenen zu kapern. Die Lücke wurde von Googles Project Zero entdeckt und natürlich auch WhatsApp vor Veröffentlichung gemeldet. Wer die aktuelle Version von WhatsApp einsetzt, ist daher auf der sicheren Seite.
Nutzer, die es nicht so mit Updates haben, sollten deshalb ruhig einmal schauen, mit welcher Version von WhatsApp sie unterwegs sind. Die aktuellen Versionen sind schon ein paar Tage alt, ist also tatsächlich nur für diejenigen interessant, die da etwas langsamer unterwegs sind.
Die Lücke lässt sich über einen Videoanruf ausnutzen, ausführbarer Code lässt sich so via WhatsApp auf das Smartphone schleusen und dieses letztendlich übernehmen. Die Lücke wurde demnach aber bislang noch nicht ausgenutzt.
Unter iOS ist die aktuelle sichere Version 2.18.93, für Android 2.18.302. Es versteht sich wohl von selbst, dass man die Updates aus sicheren Quellen, sprich aus dem Apple App Store, dem Google Play Store oder direkt von der WhatsApp-Seite laden sollte.
Quelle; Caschy
Zuletzt bearbeitet:
