Bug ermöglichte WhatsApp in eine Schleife zu schicken

In älteren App-Versionen von WhatsApp gab es eine Schwachstelle, über die Angreifer die App bei Gruppenchats in eine Endlosschleife (Denial of Service) und damit zum Absturz bringen können. Damit ließ sich nicht mehr auf den im Verlauf gespeicherten Chatnachrichten zugreifen.


Anzeige

Sicherheitsforscher von Check Point haben in WhatsApp einen Fehler gefunden, mit dem die Messaging-App WhatsApp in eine Schleife geschickt werden kann, und nicht mehr funktioniert. Der Bug konnte durch Ändern der Telefonnummer eines Teilnehmers und Versenden einer Nachricht erzielt werden. Das betrifft die Telefone aller Mitglieder einer WhatsApp-Gruppe.

Der Bug steckte im XMPP (Extensible Messaging and Presence Protocol), welches verantwortlich für Instant Messaging ist. Dort ließen sich ungültige Zeichen in eine Nachricht einschleusen, und dann an die App senden. Durch das Senden dieser Nachricht stürzt die WhatsApp-Anwendung auf jedem Smartphone ab, das Mitglied dieser Gruppe ist.

Durch den Fehler wird die App bei der Auswertung des Texts nicht nur einmalig zum Absturz gebracht. Dieser Absturz wiederholt sich auch nach dem erneuten Öffnen von WhatsApp, was zu einer Crash-Schleife führt.

Dazu haben die Sicherheitsforscher ein eigenes Tool entwickelt. Mit diesem Tool namens WhatsApp Manipulation Tool konnten die Sicherheitsforscher von Check Point die Parameter ändern, die die App benötigt, um Nachrichten auf kohärente Weise zu liefern und das Denial-of-Service Ergebnis durch manipulierte Nachrichten zu erhalten. Das nachfolgende Video demonstriert das Ganze.

(Quelle: YouTube)

In Folge des Fehlers haben die Mitglieder der Gruppe keinen Zugriff mehr auf die Gruppen- oder Gesprächshistorie. Das obige Video demonstriert diesen Angriff. Der Fehler wurde im August 2019 entdeckt und an WhatsApp gemeldet. Inzwischen wurde der Fehler in WhatsApp 2.19.246 behoben. Details sind dem Check Point-Blog-Beitrag zu entnehmen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WhatsApp abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.