In älteren App-Versionen von WhatsApp gab es eine Schwachstelle, über die Angreifer die App bei Gruppenchats in eine Endlosschleife (Denial of Service) und damit zum Absturz bringen können. Damit ließ sich nicht mehr auf den im Verlauf gespeicherten Chatnachrichten zugreifen.
Anzeige
Sicherheitsforscher von Check Point haben in WhatsApp einen Fehler gefunden, mit dem die Messaging-App WhatsApp in eine Schleife geschickt werden kann, und nicht mehr funktioniert. Der Bug konnte durch Ändern der Telefonnummer eines Teilnehmers und Versenden einer Nachricht erzielt werden. Das betrifft die Telefone aller Mitglieder einer WhatsApp-Gruppe.
Der Bug steckte im XMPP (Extensible Messaging and Presence Protocol), welches verantwortlich für Instant Messaging ist. Dort ließen sich ungültige Zeichen in eine Nachricht einschleusen, und dann an die App senden. Durch das Senden dieser Nachricht stürzt die WhatsApp-Anwendung auf jedem Smartphone ab, das Mitglied dieser Gruppe ist.
Durch den Fehler wird die App bei der Auswertung des Texts nicht nur einmalig zum Absturz gebracht. Dieser Absturz wiederholt sich auch nach dem erneuten Öffnen von WhatsApp, was zu einer Crash-Schleife führt.
Dazu haben die Sicherheitsforscher ein eigenes Tool entwickelt. Mit diesem Tool namens WhatsApp Manipulation Tool konnten die Sicherheitsforscher von Check Point die Parameter ändern, die die App benötigt, um Nachrichten auf kohärente Weise zu liefern und das Denial-of-Service Ergebnis durch manipulierte Nachrichten zu erhalten. Das nachfolgende Video demonstriert das Ganze.
(Quelle: YouTube)
In Folge des Fehlers haben die Mitglieder der Gruppe keinen Zugriff mehr auf die Gruppen- oder Gesprächshistorie. Das obige Video demonstriert diesen Angriff. Der Fehler wurde im August 2019 entdeckt und an WhatsApp gemeldet. Inzwischen wurde der Fehler in WhatsApp 2.19.246 behoben. Details sind dem Check Point-Blog-Beitrag zu entnehmen.