WhatsApp: Meta will eine Lücke in Windows-App nicht schließen

Manchmal ist die Grenze zwischen Feature und Lücke fließend und das trifft auch auf eine Schwachstelle in der WhatsApp-App für Windows zu. Denn eine Lücke, mit der sich PHP- und Python-Scripte ausführen lassen, ist nach Angaben von Meta keine - und wird auch nicht gefixt.

Lücke oder Feature?

Die Windows-App für den Messenger WhatsApp erlaubt es, Python- und PHP-Anhänge zu verschicken und in weiterer Folge, diese ohne Warnung auszuführen, wenn der Empfänger sie öffnet. Das klingt nach einer durchaus riskanten Sache, denn mit einem solchen Script kann man sicherlich viel Schaden anrichten.

Ganz so einfach ist die Sache allerdings auch nicht, wie Bleeping Computer berichtet: Denn damit das Ganze überhaupt funktioniert, muss Python auf einem jeweiligen Rechner installiert sein. Das ist eine durchaus signifikante Einschränkung, der in der Praxis kommen für einen solchen Angriff vor allem Softwareentwickler, Sicherheitsforscher und Power-User infrage.

Das ist vermutlich auch der Grund, warum WhatsApp-Betreiber hier keinen Handlungsbedarf sieht. Das Argument: Bei den erwähnten Nutzergruppen handelt es sich um fortgeschrittene Nutzer, die wissen, was sie tun. Die Gefahr, dass diese nichts ahnend auf ein Malware-Script klicken und ausführen, ist also minimal.


Gefunden hat diese (Nicht-)Lücke der Sicherheitsforscher Saumyajeet Das. Bei einer EXE-Datei lässt sich diese nicht direkt über WhatsApp-App für Windows ausführen, man kann sie lediglich speichern und dann vom Betriebssystem aus starten. Saumyajeet Das hat allerdings drei Dateitypen gefunden, die der WhatsApp-Client durchlässt: .PYZ (Python-ZIP-App), .PYZW (PyInstaller-Programm) und .EVTX (Windows-Ereignisprotokolldatei), Bleeping Computer (via Dr. Windows) hat daraufhin auch entdeckt, dass das auch für PHP-Scripts gilt.

Das hat die Lücke an Meta gemeldet, dort aber schloss man den Fall schnell wieder. Einerseits sei die Lücke bereits von einem anderen gemeldet worden (weshalb es keine Bug-Bounty-Belohnung gibt), anderseits sieht man das auch nicht als Lücke, so die WhatsApp-Mutter.

Die Begründung von Meta kann man allenfalls als ausweichend lesen:

Wir haben gelesen, was der Forscher vorgeschlagen hat, und begrüßen seinen Beitrag. Malware kann viele verschiedene Formen annehmen, auch durch herunterladbare Dateien, die einen Nutzer täuschen sollen. Deshalb warnen wir die Nutzer, niemals auf eine Datei von jemandem zu klicken oder sie zu öffnen, den sie nicht kennen, unabhängig davon, wie sie sie erhalten haben - ob über WhatsApp oder eine andere App.

Dazu kommt, dass das Unternehmen darauf verwies, dass man ein System hat, das Nutzer warnt, wenn sie Nachrichten von Personen erhalten, die nicht in ihren Kontaktlisten stehen oder deren Telefonnummern in einem anderen Land registriert sind. Freilich stellt sich die Frage, was beispielsweise passiert, wenn ein Konto von Dritten übernommen wird. Dazu kommt, dass man das Problem leicht beheben könnte, indem man die besagten Dateitypen dennoch blockt.


Siehe auch: