Das Sicherheitsunternehmen CheckPoint hat eine Schwachstelle in den Web-Clients von WhatsApp und Telegram veröffentlicht. Durch diese wurde es Angreifern möglich, erweiterte Rechte im Kontext der Nachrichtenempfänger zu erhalten. Der Journalist Raffael Schuppisser veröffentlicht einen Beitrag zum Thema in verschiedenen Zeitungen (Aargauer Zeitung, Basellandschaftliche Zeitung, Oltener Tagblatt, Watson). Darin wird Marc Ruef zitiert, der sich zur Beschaffenheit der Schwachstelle äussert.

Der Angriff ist clever und zeigt, dass man mit einer Verkettung von Mechanismen durchaus etablierte Schutzmassnahmen umgehen kann. Obwohl die Smartphone-Clients der betroffenen Lösungen scheinbar die gleiche Funktionalität bieten, wie die Web-Version, handelt es sich eigentlich um komplett unterschiedliche Software. Es ist nicht unüblich, dass dafür zwei verschiedene Entwickler-Teams zuständig sind, da sich voraussichtlich die zugrundeliegenden Programmiersprachen sowie die eingesetzten Technologien stark unterscheiden werden. Dies kann dazu führen, dass Schwachstellen in einer Fassung adressiert werden, in einer anderen aber unentdeckt bleiben. Ob nun der native Client oder die Webversion sicherer ist, ist dabei in erster Linie von der Codequalität und der Disziplin während der Entwicklung abhängig.

Links

• http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/
• http://wat.is/-yY:gthAC
• http://www.aargauerzeitung.ch/leben/leben/grosse-sicherheitsluecke-bei-whatsapp-hacker-koennen-fotos-sehen-und-nachrichten-senden-131117245
• http://www.basellandschaftlichezeitung.ch/leben/leben/grosse-sicherheitsluecke-bei-whatsapp-131117245
• http://www.oltnertagblatt.ch/leben/leben/grosse-sicherheitsluecke-bei-whatsapp-hacker-koennen-fotos-sehen-und-nachrichten-senden-131117245
• https://vuldb.com/de/?id.98115

Tags