WhatsApp für iPhone und Desktop: Kombi-Lücke erlaubte unbefugten Dateizugriff

Facebook hat eine Sicherheitslücke in der iPhone-Ausgabe des WhatsApp-Messengers geschlossen, die ausschließlich in Kombination mit bestimmten Versionen des – ebenfalls gefixten – Desktop-Clients ausnutzbar war.

Entfernte Angreifer hätten die Sicherheitslücke laut Facebooks Sicherheitshinweis zu CVE-2019-18426 für Cross-Site-Scripting-Angriffe und zum anschließenden Auslesen lokal gespeicherter Dateien missbrauchen können. Letzteres bezieht sich laut dem Entdecker der Lücke auf Dateien auf dem Rechner, auf dem WhatsApp Desktop lief und war sowohl unter Windows als auch unter macOS möglich. Dennoch gilt das von ihr ausgehende Risiko als hoch (CVSS-v3-Score 8.2).

Nutzer sollten zeitnah auf die abgesicherten Versionen des Messengers updaten beziehungsweise überprüfen, welche Versionen installiert sind. WhatsApp fürs iPhone ab Version 2.20.10 sowie WhatsApp Desktop ab Version 0.3.9309 aufwärts schließen die Lücke. Derzeit aktuell sind die Versionen 2.20.21 beziehungsweise 0.4.315. Die Desktop-Versionen sind nicht mit "WhatsApp Web" zu verwechseln, das im Browser läuft und daher keiner Aktualisierung durch den Nutzer bedarf.

Auslesen von Dateien auf Macs und Windows-Rechnern

Wie aus Facebooks Sicherheitshinweis hervorgeht, ließ sich die Lücke nur Ausnutzen, wenn iPhone- und Desktop-Anwendung gekoppelt waren. Zudem hätte ein potenzielles Opfer zunächst auf einen Link in einer speziell präparierten Nachricht klicken müssen, um den Cross-Site-Scripting-Angriff zu stoßen.

In einem Blogeintrag erläutert der Entdecker der Lücke im Detail, wie er auf diesem Wege den Inhalt von Dateien auf dem Rechner (im konkreten Beispiel die hosts-Datei auf einem Windows-Rechner) auslesen konnte. Er lässt sich zudem Informationen zu den auf dem Zielrechner installierten Browser-Versionen zurückgeben und deutet an, dass mit diesem Wissen unter Umständen auch eine Codeausführung aus der Ferne (Remote Code Execution) möglich sein könnte. (ovw)