Die Popularität von Whatsapp macht den Messenger zu einem beliebten Ziel für Angreifer. Umso unerfreulicher ist es, wenn schwere Sicherheitslücken in der Software von Facebook zum Vorschein kommen – wie es in letzter Zeit vermehrt der Fall war. Nun folgt der nächste Eintrag in dieser Reihe.

Zugriff

Facebook warnt vor einer Lücke in Whatsapp, die für Angriffe gegen den Messenger genutzt werden könnte. So könnten darüber im schlimmsten Fall von außen lokale Dateien auf dem Desktop-Rechner der Nutzer ausgelesen werden. Das Unternehmen selbst schätzt die Gefährdungslage als "hoch" ein.

Allerdings gibt es eine entscheidende Voraussetzung für den Angriff: Er klappt nur, wenn der Desktop-Client für Whatsapp genutzt wird und wenn dieser mit der iPhone-Version von Whatsapp verbunden ist. Auch das Auslesen der Dateien ist nur am Desktop möglich, das Smartphone ist also nicht direkt gefährdet.

Basis

Es handelt sich bei der Attacke um einen Cross-Site-Scripting-Angriff, wie er in den Desktop-Clients solcher Messenger immer wieder einmal möglich ist. Ein Angreifer hätte die Zielperson dazu bringen müssen, auf einen präparierten Link zu klicken. Weitere technische Details gibt es in einem Blogeintrag des Entdeckers der Lücke.

Update

Facebook rät seinen Nutzern jedenfalls, sowohl die iPhone-App als auch den Desktop-Client auf den neuesten Stand zu bringen. In Whatsapp für das iPhone wurde die Lücke mit der Version 2.20.10 geschlossen, die Desktop-Ausgabe ist aber Version 0.3.9309 nicht mehr gefährdet. Diese Versionen wurden bereits vor einigen Wochen ausgeliefert, wer automatisch Updates einspielt, sollte also nicht mehr gefährdet sein. (red, 7.2.2020)