Die GIF-Bombe: In Whatsapp klaffte über Monate eine Sicherheitslücke

App, Messenger, Chat, whatsapp Bildquelle: Pixabay
In Whatsapp für Android klaffte über Monate eine Sicherheitslücke, die Ge­rä­te angreifbar machte. Mit dem Update auf Version 2.19.44 wurde das Problem beseitigt, auch der zugrundeliegende Fehler in der GIF-Bibliothek Android GIF Drawable wurde geschlossen.

Manipulierte GIF-Dateien können über Umwege Schaden anrichten

Whatsapp ist eine der größten Kommunikationsplattformen der Welt und deshalb entsprechend attraktiv für Angreifer. Jetzt wurde einmal mehr eine Sicherheitslücke bekannt, die zum Zeitpunkt der Öffentlichmachung schon geschlossen worden war. Wie connect schreibt, klaffte in allen Whatsapp-Versionen vor 2.19.230 ein Fehler, der Android-Smartphones mit Android 8.1 und Android 9 angreifbar macht - bei Geräten mit Android 8 oder weniger führt die Ausnutzung der Lücke lediglich zu einem Absturz. Infografik: WhatsApp ist unverzichtbarWhatsApp ist unverzichtbar Die Lücke mit der Kennzeichnung CVE-2019-11932 hatte dabei nicht auf einen Fehler in Whatsapp, sondern in einer der genutzten Datenbanken aufgesetzt. Der Messenger nutzt die GIF-Bibliothek Android GIF Drawable, um Vorschaubilder für GIF-Dateien auf Android-Geräten darzustellen. Ein möglicher Exploit des Fehlers setzt an, wenn schon erhaltene GIFs in der Vorschau angezeigt werden. Wie The Hacker News erläutert, ist Angreifern dann ein Remote-Zugriff möglich, der umfassenden Spielraum für Manipulationen bietet.

Umständlicher Angriffsweg

Wegen der Art des Fehlers fällt der Angriffsweg für mögliche Ausnutzung sehr kompliziert aus. Da Whatsapp selbst beim Versand von GIF-Nachrichten eine Komprimierung vornimmt, müssen die Schadcode-GIFs zunächst auf anderem Weg auf die Geräte gelangen. Im Anschluss muss das Opfer dann noch in der Auswahl der Anhang-Medien die entsprechende Datei angezeigt bekommen.

Entdeckt wurde das Problem von dem vietnamesischen Sicherheitsforscher Pham Hong Nhat, eine Meldung an Facebook war schon im Juni erfolgt. Eine Schließung der Lücke war dann mit Whatsapp Version 2.19.44 im September erfolgt, auch die Lücke in Android GIF Drawable ist mittlerweile mit dem Update 1.12.18 geschlossen. Eine Überprüfung der installierten Whatsapp-Version ist unter Einstellungen, Hilfe, App Info möglich.

Download WhatsApp Desktop - Windows-Client für den beliebten Messenger Download WhatsApp für Android: APK-Version App, Messenger, Chat, whatsapp App, Messenger, Chat, whatsapp Pixabay
Diese Nachricht empfehlen
Kommentieren4
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

WhatsApp-SIM im Preisvergleich

Jetzt als Amazon Blitzangebot

Ab 17:40 Uhr Solar Bluetooth-Lautsprecher mit 5000mAh Power Bank, XIYIHOO Tragbarer, kabelloser Bluetooth 4.2-Lautsprecher mit mehr als 50 Stunden Spielzeit für Outdoor- und Indoor-Aktivitäten ?Solar Bluetooth-Lautsprecher mit 5000mAh Power Bank, XIYIHOO Tragbarer, kabelloser Bluetooth 4.2-Lautsprecher mit mehr als 50 Stunden Spielzeit für Outdoor- und Indoor-Aktivitäten ?
Original Amazon-Preis
46,99
Im Preisvergleich ab
46,99
Blitzangebot-Preis
39,94
Ersparnis zu Amazon 15% oder 7,05
Im WinFuture Preisvergleich

Tipp einsenden