Hacker können mit speziellen Gruppen-Nachrichten die App der Empfänger außer Betrieb setzen, wie eine Cyberfirma entdeckt hat. Mit einem Update können sich WhatsApp-Nutzer allerdings schützen.
Stuttgart - Sicherheitsexperten des israelischen Cyber-Unternehmens Checkpoint haben einen schweren Fehler im Programm des Messenger-Diensts WhatsApp entdeckt. Eine spezielle Nachricht, die in einen Gruppenchat versendet wird, kann die mobile App abstürzen lassen. Nur eine Neuinstallation mit einhergehendem Datenverlust bringt die Anwendung dann wieder zum Laufen, wie die IT-Forscher auf ihrer Website schreiben.
Gruppenchats als Sicherheitslücke
Im Spätsommer hätten Experten von Checkpoint den „Bug“ (dt.: Softwarefehler) entdeckt und sich an WhatsApp gewandt. Wer von der Desktopanwendung WhatsApp-Web einige Nachrichtenparameter mithilfe eines Debugging-Tools verändert, und diese manipulierte Nachricht, im Fachjargon „Exploit“ genannt, in einen Gruppenchat sendet, bringt die App der Empfänger zum Absturz. Auch danach lässt sich der Messenger nicht starten. Die einzige Möglichkeit: die Anwendung im Apple- oder Google-Play-Store neu installieren.
In früheren App-Versionen konnten Nutzer allein basierend auf der Mobilfunknummer zu Gruppenchats hinzugefügt werden und erhielten fortan Nachrichten. Das macht die neu entdeckte Sicherheitslücke zu einer gefährlichen Waffe, um WhatsApp ausgewählten Nutzern außer Betrieb zu setzen. Mittlerweile hat der zu Facebook gehörende Dienst den Fehler ausgemerzt. „Wir haben vor kurzem neue Kontrollelemente hinzugefügt, um zu verhindern, dass Personen zu unerwünschten Gruppen hinzugefügt werden, um die Kommunikation mit nicht vertrauenswürdigen Parteien insgesamt zu vermeiden“, erklärt WhatsApp-Software-Ingenieur Ehren Kret.
Neue App-Versionen sind geschützt
Jetzt machte Checkpoint den „Bug“ in einem Blogbeitrag öffentlich – warum? WhatsApp-Versionen, die neuer sind als die Version 2.19.246 sind gegen die Absturzgefahr immun. Deswegen appelliert das Unternehmen, so bald wie möglich ein manuelles Update der iOS- oder Android-App durchzuführen. Erst vor wenigen Tagen hat WhatsApp ein neues Update für Android-Geräte bekannt gemacht.
Unternehmen setzen auf externe Hinweise
Viele große Unternehmen betreiben sogenannte „Bug-Bounty-Programme“, um Lücken und Fehler in Software zu finden und sich vor Daten-Lecks zu schützen. Was im Deutschen übersetzt so viel wie „Kopfgeldprogramm“ für Schwachstellen in Softwaresystemen heißt, belohnt Einzelpersonen oder IT-Unternehmen für das Entdecken sowie Melden von Sicherheitslücken, die potenziell von Angreifern genutzt werden könnten.