Zwei WhatsApp-Schwachstellen hätten Smartphone-Übernahme ermöglicht

Facebook-Tochter WhatsApp hat kürzlich zwei gravierende Sicherheitslücken geschlossen, über die eine Remote-Übernahme des für WhatsApp-Sitzungen verwendeten Android-Smartphones möglich gewesen wäre.


Anzeige

Ich bin über The Hacker News auf die Veröffentlichung der Sicherheitsforscher von Census Labs gestoßen. Im Beitrag Remote exploitation of a man-in-the-disk vulnerability in WhatsApp (CVE-2021-24027) beschreiben diese detailliert ihre Erkenntnisse. Es gab in dem zu Facebook gehörenden WhatsApp zwei Schwachstellen, die inzwischen aber geschlossen sind.

Konkret ging es um die Messaging-App für Android, wo die Schwachstellen ausgenutzt werden konnten, um Schadcode aus der Ferne auf dem Gerät auszuführen und sogar sensible Daten zu exfiltrieren. Betroffen waren Geräte mit Android-Versionen bis einschließlich Android 9. Problem war die Implementierung von TLS 1.2 und 1.3 in der App, die einen "Man-in-the-Disk"-Angriff ermöglichten. Angreifern war es möglich, eine Android-App zu kompromittieren, indem sie bestimmte Daten manipulieren, die zwischen ihr und dem externen Speicher ausgetauscht werden.

Ab Android 10 sind solche Angriffe nicht mehr möglich, da dort die Funktion "Scoped Storage" gegen diese Art von Angriffen eingeführt wurde. Mit Scoped Storage erhalten Apps standardmäßig nur Zugriff auf ihre eigenen Inhalte auf dem externen Speicher. Apps mit einer bestimmten Berechtigung  können auch auf Inhalte zugreifen, die von anderen Anwendungen freigegeben wurden. Schließlich wird der volle Zugriff auf External Storage nur speziellen Apps (z. B. Dateimanagern) gewährt, die von Google geprüft wurden. Android 11 ist die erste Version, die die "scoped storage"-Regeln für alle Apps vollständig durchsetzt, während Android 10 einen permissiven Betriebsmodus enthielt, um Entwicklern die nötige Zeit für die Umstellung auf das neue Dateizugriffsschema zu geben.

Die Sicherheitsforscher beschreiben ihn ihrem Beitrag Remote exploitation of a man-in-the-disk vulnerability in WhatsApp (CVE-2021-24027) detailliert die Schwachstellen und deren Ausnutzung. Aber wie bereits geschrieben, haben die WhatsApp-Entwickler dieses Bugs inzwischen durch ein App-Update behoben. Wenn ich mir allerdings hier im Blog ansehe, wie häufig WhatsApp mit Problemen auftaucht und die Implikationen aus dem Artikel Gigaset-Malwarebefall und das WhatsApp/SIM-Problem berücksichtige, ist der Dienst sowie dessen Messenger-App "ziemlich verbrannt" für mich. Keine Ahnung, wie ihr das so seht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WhatsApp abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Zwei WhatsApp-Schwachstellen hätten Smartphone-Übernahme ermöglicht

  1. Stephan sagt:

    "Wenn ich mir allerdings hier im Blog ansehe, wie häufig WhatsApp mit Problemen auftaucht und die Implikationen aus dem Artikel Gigaset-Malwarebefall und das WhatsApp/SIM-Problem berücksichtige, ist der Dienst sowie dessen Messenger-App „ziemlich verbrannt" für mich. Keine Ahnung, wie ihr das so seht."

    Sorry, aber diese Aussage ist Quatsch.
    Was kann Whatsapp dafür, wenn die Geräte selbst schon Verseucht sind, oder der Benutzer allen möglichen Schrott Installiert und Installation aus Unbekannten Quellen zu lässt.

    Das ist genauso wie die aussage, das Autos nur 50 km/h fahren dürfen,
    weil es Leute gibt die damit 250 km/h fahren.

    Selbst ein Super duper Sicheres Linux taugt keinen deut, wenn der Benutzer sich allen möglichen Schrott Installiert,
    oder schon ein ein Rootkit Installiert ist.
    Ist Linux dann genauso Verbrannt ?

    • Günter Born sagt:

      Muss jeder selbst wissen und entscheiden, womit er sich bestmöglich ruiniert – ich zeige nur auf. Und WhatsApp sollte in jeder Business-Umgebung gebannt sein. Aber egal.

      • User007 sagt:

        "Und WhatsApp sollte in jeder Business-Umgebung gebannt sein."
        Gerade das ist für eher kleinselbstständige Businesses aber das effizienteste Kontaktmedium, insbesondere in der Handelsbranche.
        Da beißt sich die Katze wieder selbst in den Schwanz.

        • Dat Bundesferkel sagt:

          Das ist Unfug. Stattdessen kann man auch wunderbar auf das *richtige* XMPP-Protokoll mit Messengern wie Conversations (Android), ChatSecure (Apple), Gajim (Windows/Linux) setzen.
          Video-/Audiotelefonie, Server können gemietet (oder selbst) gehostet werden. Dafür reicht auch ein kleiner RPi 4 locker – selbst im Einsatz!

          Diese Variante hat den Vorteil DSGVO-konform betrieben werden zu können. Mit WhatsApp stehst Du immer "mit einem Bein im Knast" als Unternehmer.
          Und nein, Datenschutz gilt nicht erst seit der DSGVO, das war schon mit dem BDSG fällig – hat wegen der lächerlichen Strafen nur keinen interessiert.

    • Beat sagt:

      Die Kopplung des WhatsApp-Accounts mit einer Telefonnummer ist höchst problematisch. Threema handhabt dies deutlich besser.

      • Dat Bundesferkel sagt:

        Sehe ich genau so. Vor allem, wenn man bei einem günstigen Anbieter ist, der gekündigte Nummern gleich wieder freigibt und man sich als neuer Inhaber wundert, was die ganzen geilen Schnecken von einem wollen… o.O Ja, tatsächlich so erlebt, weil der vorige Nutzer seine Rufnummer bei WA nicht de-registriert hat.

    • Dat Bundesferkel sagt:

      Da fühlt sich aber jemand angegriffen.

      Wie kann es angehen, daß eine "Benutzer-App" überhaupt imstande ist die Übernahme des Gerätes zu ermöglichen. Das ist ein "Failure by Design". Wenn die schon bei XMPP geklaut haben und ihren eigenen ClosedSource-Schrott einbringen, sollten sie zumindest sowas verhindern.
      Aber vermutlich ist genau dieses Verhalten sogar explizit erwünscht (Übernahme des Endgerätes durch Geheimdienste) – man kennt ja die US-Sonderrechte zur Auslandsbespitzelung.
      2 Lücken geschlossen, 589 noch offen?

  2. Kukkatto sagt:

    Es gibt schon einige Vorkehrungen, mit denen man einigen WA-Problemen etwas ausweichen kann: WA läuft bei mir auf einem Gerät ohne SIM-Karte drin – hat den Vorteil, daß bei einem WA-Anruf ohne Internet-Verbindung (die natürlich nur über WLAN läuft) nicht automatisch ein Telephongespräch über Mobilfunk initiiert wird, das dann extra kosten würde (bei Ferndestinationen wäre das besonders ärgerlich). Des weiteren wird die für WA eingesetzte Nummer nur für WA oder als reiner Datentarif genutzt und nicht für Telephonie. Kontakte werden ausschließlich jene gespeichert, die über WA reinkommen – somit kann WA mein Kontakteverzeichnis noch so abgrasen – die Nummern kennt WA schon. Klar ist so ein Sozialkontakteprofil möglich – aber das läßt sich mit keinem Telekommunikationsmittel völlig vermeiden. Was natürlich unbedingt nicht vergessen werden darf: sämtliche Drittanbieterdienste der SIM-Karte sind natürlich zu sperren.

    Was mich aber schon etwas stört, ist eine "Errungenschaft" von Android 10: auf dem Anfang Monat betroffenen Gigaset habe ich zur Überwachung nun AppSnitch installiert, das sämtliche Verbindungen nach draußen ins Netz anzeigt und protokolliert – incl. welche App in welches Land zu welchem Server Daten austauscht. Aber auf Android 10 ist das gar nicht mehr installierbar, da die Berechtigungen nicht mehr erlauben, daß mit einer App der Netzwerktraffic von anderen Apps beobachtet werden darf. Klar soll der Traffic nicht (insbesondere nicht unbemerkt) manipuliert werden dürfen. Aber eine Kontrolle wird so natürlich auch gleich an der Quelle ausgehebelt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.