Sicherheitslücke in WhatsApp vor Windows – ein Patch ist nicht geplant

News-Bote

Ich bring die Post
Sicherheitslücke in WhatsApp vor Windows – ein Patch ist nicht geplant

WhatsApp Titelbild


In der Windows-App von WhatsApp wurde eine Schwachstelle entdeckt, welche die direkte Ausführung von Scriptdateien ermöglicht. Die Entwickler bestätigen das Verhalten, sehen aber bislang keinen Anlass für eine Korrektur.

Entdeckt wurde die Schwachstelle von Sicherheitsforscher Saumyajeet Das, der seine Erkenntnisse schon vor mehr als einem Monat auf LinkedIn veröffentlichte. Durch einen Bericht von Bleeping Computer (via Golem) gelangt das Thema jetzt an eine breitere Öffentlichkeit.

Die Anfälligkeit besteht darin, dass WhatsApp für Windows PHP-Dateien und Python-Scripte unmittelbar ausführt, wenn man diese anklickt. Bei anderen Script- oder ausführbaren Dateien wie exe, .com, .scr, .bat, .dll, .hta und .vbs ist WhatsApp vorsichtiger und blockiert deren Ausführung ohne explizite Bestätigung durch den Nutzer.

Dateien mit den Endungen .php sowie .pyz (Python ZIP) und .pyzw (Python Installer) werden von WhatsApp dagegen sofort ausgeführt, wenn man auf “Öffnen” klickt. Gleiches gilt für die Endung .evtx (Windows Event Log). Angreifer könnten das ausnutzen, um Malware auf ein System zu schleusen oder andere unerwünschte Funktionen auszuführen. Voraussetzung für eine erfolgreiche Ausnutzung ist allerdings, dass Python installiert ist.

Saumyajeet Das meldete die Schwachstelle am 3. Juni an WhatsApp-Eigentümer Meta über das Bug Bounty Programm. Statt einem Dankschreiben und einer Prämie erhielt er allerdings am 15. Juli die Rückmeldung, dass ein anderer Nutzer diesen Sachverhalt bereits früher gemeldet hat und man darin zudem keine Sicherheitslücke sieht. Das ist insbesondere deshalb verwunderlich und enttäuschend, weil eine Korrektur ohne großen Aufwand möglich wäre und die Funktionalität von WhatsApp in keiner Weise darunter leidet.

Eventuell ändern die Entwickler ihre Meinung, wenn das Thema jetzt durch die Presse geistert. Es wäre nicht das erste Mal, dass Unternehmen erst reagieren, wenn öffentlicher Druck entsteht.

zum Artikel...
 
Oben