WhatsApp-Zahlungen manipulierbar

Die Bezahlfunktion von WhatsApp ist unzureichend geschützt, wie die Berliner Sicherheitsfirma Curesec bemerkt hat. Wer sein WhatsApp-Abo über die Messenger-App verlängert, der wird auf eine Webseite gelotst, auf der er die gewünschte Zahlungsart auswählen kann. Der Bezahlprozess setzt allerdings nicht konsequent auf verschlüsseltes HTTPS, sondern führt im ersten Schritt einen HTTP-Request aus. Diesen kann ein Angreifer als Man-in-the-Middle manipulieren, wodurch er der WhatsApp-Nutzer auf eine beliebige Webseite schicken kann.

Würde der Angreifer sein Opfer in spe etwa auf eine nachgebaute Version der Bezahlseite umleiten, könnte er Kreditkartendaten oder auch PayPal-Zugangsdaten abgreifen. Damit der Angreifer den HTTP-Request manipulieren kann, muss er sich im gleichen Netzwerk wie sein Opfer befinden. Schützen kann man sich daher, indem man die alljährliche Verlängerung des WhatsApp-Abos in einem vertrauenswürdigen Netz – oder noch besser über das Mobilfunknetz – abwickelt. (rei)