Kritische Schwachstelle in WhatsApp

In der App von WhatsApp wurde eine kritische Sicherheitslücke entdeckt, die eine Übernahme des Smartphones durch einen Videoanruf ermöglichen soll.

Ich weiß nicht, ob jemand meiner Blog-Leser/innen noch WhatsApp bzw. die Android-App verwendet (ich habe diese vor einiger Zeit gelöscht).

Die Schwachstelle in WhatsApp

Entdeckt wurde die Schwachstelle von Natalie Silvanovich, die beim Project Zero aktiv ist. Dieser Post im Chromium-Blog stammt bereits vom 31. August 2018. Silvanovich beschreibt dort eine Heap Corruption-Schwachstelle, die zu einem Speicherüberlauf führt, wenn ein böswilliges RTP-Paket (von einem Video-Call) empfangen wird. Dann stürzt das Gerät bestensfalls ab, im ungünstigsten Fall kann ein Angreifer über Heap Corruption das Gerät übernehmen.

Dieses Problem kann auftreten, wenn ein WhatsApp-Benutzer einen Anruf von einem böswilligen Kollegen annimmt. Es betrifft sowohl die Android- als auch die iPhone-Clients. Im Chromium-Blog wird erläutert, wie sich das Problem reproduzieren lässt. Zudem gibt es ein Proof of Concept, um den Fehler auszunutzen.

Der Bug-Report unterlag einer 90-tägigen Offenlegungsfrist. Da aber ein Update für WhatsApp verfügbar ist, wurde der Bericht für die Öffentlichkeit freigegeben.

Probleme beim App-Update

Für iPhones ist WhatsApp V 2.18.93 und für Android Version 2.18.302 aktuell. Alles, was nach dem 28.9.2018 veröffentlicht wurde, ist wohl aktuell. Bei heise.de, wo ich auf den Hinweis zur Schwachstelle gestoßen bin, schreibt man, dass nicht allen Android-Nutzern die aktuelle Version im Google Play Store angeboten wird. Vielmehr sei dort die WhatsApp-Version 2.18.293 vom 24.09.2018 zu finden. Bei mir wird im Browser eine Version vom 8.10.2018 angeboten. Falls die alte Android-App-Version angeboten wird, sollte man die kommenden Tage schauen, ob ein Update ansteht. Auf die Installation aus Drittquellen sollte unter Android verzichtet werden. WhatsApp hat die App auf die Version 2.18.306 aktualisiert (siehe).