WhatsApp für Android: Lücke erlaubte Fernzugriff über manipulierte Bilddateien

In WhatsApp für Android vor Version 2.19.244 klafft eine Sicherheitslücke. Angreifer hätten sie missbrauchen können, um beliebigen Code auszuführen, auf Dateien innerhalb von WhatsApp (einschließlich der Nachrichten-Datenbank) zuzugreifen und Denial-of-Service-Zustände herbeizuführen. In Kombination mit einer zweiten verwundbaren Anwendung wie etwa einem Browser wären auch Remote-Angriffe möglich gewesen.

Facebook hat bereits vergangene Woche einen Sicherheitshinweis zu der Lücke mit der CVE-Nummer CVE-2019-11932 veröffentlicht. Ihm ist zu entnehmen, dass die Lücke bereits in Version 2.19.244 des Messengers geschlossen wurde. Die letzte Aktualisierung im Play Store erfolgte am 3. Oktober. Der Entdecker der Lücke hat einen Proof-of-Concept-Exploit entwickelt, den er selbst erfolgreich unter Android 8.1 und 9.0 getestet hat. Auf Android-Versionen vor 8.1 funktioniere dieser allerdings nicht.

Standardmäßig aktualisiert sich WhatsApp für Android von selbst. Wer überprüfen möchte, welche Version auf seinem Mobilgerät installiert ist, navigiert im Menü zu "Einstellungen --> Hilfe --> App-Info". Findet sich dort eine Versionsangabe vor 2.19.244, sollte das Update manuell über den Play Store nachgeholt werden.

Angriff via GIF-Datei

Sowohl für den lokalen als auch für den Remote-Angriff via CVE-2019-11932 wird eine manipulierte Bilddatei im .gif-Format verwendet. Erstellt wird diese unter Verwendung von zuvor auf dem Zielgerät gesammelten (Speicheradress-)Informationen.

Bei der lokalen Exploit-Variante wird das GIF von einer (durch den Angreifer installierten) Schadcode-Anwendung erstellt. Im Falle eines Remote-Angriffs hingegen muss der Angreifer die benötigten Daten aus der zweiten verwundbaren Anwendung (z.B. Browser) aus der Ferne abgreifen und das GIF anschließend via WhatsApp an das Opfer verschicken. Sofern er sich bereits in der Kontaktliste des Opfers befindet, wird das Bild ohne weitere Nutzerinteraktion automatisch auf das Gerät heruntergeladen.

Der Exploit wird getriggert, sobald das Vorschaubild des GIFs auf dem Gerät angezeigt wird. Das passiert etwa dann, wenn das Opfer seinerseits eine Datei an seine Kontakte verschicken will und über das Büroklammer-Symbol in die WhatsApp-Galerie wechselt, in der sich das empfangene manipulierte Bild befindet. Das GIF öffnet daraufhin eine Remote-Shell, über die der Angreifer auf WhatsApp-Dateien zugreifen kann.

Wer sich für nähere Details zur Sicherheitslücke interessiert, kann diese bei GitHub nachlesen: Ihr Entdecker hat dort eine ausführliche Beschreibung, den bereits erwähnten Proof-of-Concept-Code sowie ein Demo-Video veröffentlicht.

• WhatsApp aktualisieren für Android - so geht's

(ovw)