X

Die GIF-Bombe:
In Whatsapp klaffte über Monate eine Sicherheitslücke

In Whatsapp für Android klaffte über Monate eine Sicherheitslücke, die Ge­rä­te angreifbar machte. Mit dem Update auf Version 2.19.44 wurde das Problem beseitigt, auch der zugrundeliegende Fehler in der GIF-Bibliothek Android GIF Drawable wurde geschlossen.
Pixabay
07.10.2019  14:31 Uhr

Manipulierte GIF-Dateien können über Umwege Schaden anrichten

Whatsapp ist eine der größten Kommunikationsplattformen der Welt und deshalb entsprechend attraktiv für Angreifer. Jetzt wurde einmal mehr eine Sicherheitslücke bekannt, die zum Zeitpunkt der Öffentlichmachung schon geschlossen worden war. Wie connect schreibt, klaffte in allen Whatsapp-Versionen vor 2.19.230 ein Fehler, der Android-Smartphones mit Android 8.1 und Android 9 angreifbar macht - bei Geräten mit Android 8 oder weniger führt die Ausnutzung der Lücke lediglich zu einem Absturz.
WhatsApp ist unverzichtbar
Infografik: WhatsApp ist unverzichtbar

Die Lücke mit der Kennzeichnung CVE-2019-11932 hatte dabei nicht auf einen Fehler in Whatsapp, sondern in einer der genutzten Datenbanken aufgesetzt. Der Messenger nutzt die GIF-Bibliothek Android GIF Drawable, um Vorschaubilder für GIF-Dateien auf Android-Geräten darzustellen. Ein möglicher Exploit des Fehlers setzt an, wenn schon erhaltene GIFs in der Vorschau angezeigt werden. Wie The Hacker News erläutert, ist Angreifern dann ein Remote-Zugriff möglich, der umfassenden Spielraum für Manipulationen bietet.

Umständlicher Angriffsweg

Wegen der Art des Fehlers fällt der Angriffsweg für mögliche Ausnutzung sehr kompliziert aus. Da Whatsapp selbst beim Versand von GIF-Nachrichten eine Komprimierung vornimmt, müssen die Schadcode-GIFs zunächst auf anderem Weg auf die Geräte gelangen. Im Anschluss muss das Opfer dann noch in der Auswahl der Anhang-Medien die entsprechende Datei angezeigt bekommen.

Entdeckt wurde das Problem von dem vietnamesischen Sicherheitsforscher Pham Hong Nhat, eine Meldung an Facebook war schon im Juni erfolgt. Eine Schließung der Lücke war dann mit Whatsapp Version 2.19.44 im September erfolgt, auch die Lücke in Android GIF Drawable ist mittlerweile mit dem Update 1.12.18 geschlossen. Eine Überprüfung der installierten Whatsapp-Version ist unter Einstellungen, Hilfe, App Info möglich.

Verwandte Themen
WhatsApp
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture