Schwere Sicherheitslücke in den Web-Oberflächen von WhatsApp und Telegram geschlossen
Lücken bei WhatsApp Web und Telegram Web erlauben es Angreifern, die Web-Sessions der Messenger zu kapern. Auf diesem Wege können sie Nachrichten mitlesen, Adressbücher kopieren und Schadcode an Kontakte verschicken.
- Fabian A. Scherschel
Mittlerweile geschlossene Schwachstellen in den Web-Oberflächen der Messenger WhatsApp und Telegram erlaubte es Angreifern, die Kontrolle über die im Browser laufenden Chat-Instanz zu übernehmen. So konnten sie die Nachrichten des Opfers lesen, auf sein Adressbuch zugreifen und von dort aus die Konten seiner Kontakte angreifen, wenn diese den Messenger ebenfalls im Browser nutzen.
Entdeckt wurde die Lücke von Forschern der Sicherheitsfirma Check Point, die mit den Messenger-Entwicklern zusammenarbeiteten, um die Schwachstellen schließen zu lassen. Man meldete Details der Lücken am 8. März an die betroffenen Messenger und WhatsApp behob das Problem innerhalb von 24 Stunden. Telegram benötigte etwas länger, reagierte aber ebenfalls zügig mit einem Fix.
Ende-zu-Ende-Verschlüsselung nicht geknackt
Die Ende-zu-Ende-Verschlüsselung von WhatsApp ist von dem Angriff nicht betroffen. Sie musste dazu nicht geknackt werden, da sie auf dem Mobilgerät des Anwenders terminiert wird. Zwischen Mobilgerät und Browser wird im Anschluss eine weitere gesicherte Verbindung aufgebaut, falls der Anwender WhatsApp Web nutzen will. In Telegram Web stehen die verschlüsselten Chats nicht zur Verfügung, die Lücke in diesem Messenger bezieht sich also nur auf die Standard-Chats ohne Ende-zu-Ende-Verschlüsselung.
Bei beiden Lücken handelt es sich um Fehler bei der Validierung von Dateitypen. WhatsApp überprüft beim Hochladen eines Bildes nicht korrekt, ob es sich auch wirklich um eine Bilddatei handelt. So konnten die Sicherheitsforscher als Bilddatei getarnten HTML-Code hochladen, der beim Öffnen ausgeführt wird und die Session der Web-App kapert. Um die Lücke auszunutzen muss ein Angreifer das Opfer also dazu kriegen, eine bösartige Datei in einen Chat zu laden.
Die Lücke in Telegram betrifft Videodateien. Baut ein Angreifer Schadcode in ein Video ein und schafft es, sein Opfer dazu zu bewegen, das Video abzuspielen und auf dem laufenden Video dann per Rechtsklick "in neuem Tab öffnen" zu wählen, kann der Angreifer die Session kapern.
Die Verschlüsselung tarnt den Schadcode
Da Dateien bei WhatsApp auf dem Endgerät Ende-zu-Ende verschlüsselt werden, bevor sie auf die Server geladen werden, kann WhatsApp ab diesem Punkt nicht mehr in den Inhalt der bösartigen Datei gucken und hat keine Chance, den Schadcode zu entdecken. Telegram könnte die Videos bei seinen unverschlüsselten Chats zwar prüfen, tat es aber offensichtlich nicht.
Öffnet der Empfänger die Payload des Angreifers im Web-Client des Messengers, wird diese ausgeführt und die Session ist unter der Kontrolle des Angreifers. Von da aus kann er sich dann auf dem selben Wege durch die Kontakte des Opfers hangeln – allerdings gelingt der Angriff nur, wenn der Empfänger das angebliche Bild oder Video im Web-Interface öffnet.
Wie schütze ich mich?
Wer lediglich die Smartphone-Apps der beiden Messenger benutzt, ist nach aktuellem Kenntnisstand auf der sicheren Seite. Wer in der Vergangenheit WhatsApp Web oder Telegram Web genutzt hat, besitzt auf dem Smartphone unter Umständen nach wie vor eine authentifizierte Session mit einem Browser. Wer Missbrauch befürchtet, kann diese Session in den Einstellungen beider Messenger auf dem Handy beenden. Dann können die Browser-Instanzen des Messengers nicht mehr mit dem eigenen Konto kommunizieren.
Wichtig ist, dass man sich allein auf die auf dem Smartphone angezeigten Informationen verlässt. Ist die Web-App gekapert, kann der Angreifer die im Browser angezeigten Inhalte manipulieren. Angesichts der Tatsache, dass die Lücken bereits geschlossen wurden, sind solche Art Angriffe im Moment wohl aber eher nicht zu befürchten. Außerdem ist das Angriffsszenario auf Telegram durch das komplizierte Öffnen im neuen Tab sehr unwahrscheinlich,
Web-Apps und Browser als Risikofaktor
Trotzdem zeigen die von Check Point entdeckten Lücken deutlich, wie die Web-Oberflächen der beiden Messenger deren Sicherheit verringern können. Auch wenn die Ende-zu-Ende-Verschlüsselung nach wie vor intakt ist, kann ein Angreifer, der das Endgerät kontrolliert, dort die unverschlüsselten Nachrichteninhalte abgreifen. Und da Browser und Web-Apps immer wieder Schwachstellen aufweisen, eignen sie sich als Zielpunkt solcher Angriffe. Wer dieses Risiko nicht eingehen will und darauf Wert legt, die Angriffsfläche seiner verschlüsselten Konversationen zu verringern, bleibt vielleicht lieber bei den Smartphone-Apps.
Update: 15.03.2017, 14:25 Uhr
Meldung angepasst, damit diese nicht den Eindruck erweckt, bei Telegram wären verschlüsselte Chats betroffen.
Update: 15.03.2017, 14:40 Uhr
Bei Telegram kann ein Angreifer, der die Web-Session des Nutzers gekapert hat, von dort aus auch etwaige Smartphone-Sessions abschalten. So kann er unter Umständen komplett die Kontrolle über das Konto des Opfers übernehmen. Bei WhatsApp ist das nicht möglich, da die Browser-Session immer direkt mit dem Mobilgerät kommunizieren muss.
Update: 16.03.2017, 16:25 Uhr
Details zur Lücke in Telegram mit Informationen der Telegram-Entwickler angepasst. (fab)