Die GIF-Bombe: In Whatsapp klaffte über Monate eine Sicherheitslücke

Von John Woll am 07.10.2019 14:31 Uhr
4 Kommentare
In Whatsapp für Android klaffte über Monate eine Sicherheitslücke, die Ge­rä­te angreifbar machte. Mit dem Update auf Version 2.19.44 wurde das Problem beseitigt, auch der zugrundeliegende Fehler in der GIF-Bibliothek Android GIF Drawable wurde geschlossen.

Manipulierte GIF-Dateien können über Umwege Schaden anrichten

Whatsapp ist eine der größten Kommunikationsplattformen der Welt und deshalb entsprechend attraktiv für Angreifer. Jetzt wurde einmal mehr eine Sicherheitslücke bekannt, die zum Zeitpunkt der Öffentlichmachung schon geschlossen worden war. Wie connect schreibt, klaffte in allen Whatsapp-Versionen vor 2.19.230 ein Fehler, der Android-Smartphones mit Android 8.1 und Android 9 angreifbar macht - bei Geräten mit Android 8 oder weniger führt die Ausnutzung der Lücke lediglich zu einem Absturz.

WhatsApp ist unverzichtbar

Die Lücke mit der Kennzeichnung CVE-2019-11932 hatte dabei nicht auf einen Fehler in Whatsapp, sondern in einer der genutzten Datenbanken aufgesetzt. Der Messenger nutzt die GIF-Bibliothek Android GIF Drawable, um Vorschaubilder für GIF-Dateien auf Android-Geräten darzustellen. Ein möglicher Exploit des Fehlers setzt an, wenn schon erhaltene GIFs in der Vorschau angezeigt werden. Wie The Hacker News erläutert, ist Angreifern dann ein Remote-Zugriff möglich, der umfassenden Spielraum für Manipulationen bietet.

Umständlicher Angriffsweg

Wegen der Art des Fehlers fällt der Angriffsweg für mögliche Ausnutzung sehr kompliziert aus. Da Whatsapp selbst beim Versand von GIF-Nachrichten eine Komprimierung vornimmt, müssen die Schadcode-GIFs zunächst auf anderem Weg auf die Geräte gelangen. Im Anschluss muss das Opfer dann noch in der Auswahl der Anhang-Medien die entsprechende Datei angezeigt bekommen.

Entdeckt wurde das Problem von dem vietnamesischen Sicherheitsforscher Pham Hong Nhat, eine Meldung an Facebook war schon im Juni erfolgt. Eine Schließung der Lücke war dann mit Whatsapp Version 2.19.44 im September erfolgt, auch die Lücke in Android GIF Drawable ist mittlerweile mit dem Update 1.12.18 geschlossen. Eine Überprüfung der installierten Whatsapp-Version ist unter Einstellungen, Hilfe, App Info möglich.

Download WhatsApp Desktop - Windows-Client für den beliebten Messenger
Download WhatsApp für Android: APK-Version
whatsapp
Jede Woche neu: Top-News per E-Mail
4 Kommentare lesen & antworten
Verwandte Themen
WhatsApp Facebook Android
Desktop-Version anzeigen
Hoch © 2000 - 2019 WinFuture Impressum Datenschutz