Facebook warnt davor, dass Nutzer der Messaging-App durch manipulierte Videos gehackt werden können. Theoretisch können Angreifer das Smartphone vollständig übernehmen – betroffen sind Android und iOS.
Facebook, der Mutterkonzern von WhatsApp, führt die Anfälligkeit unter der offiziellen Nummer CVE-2019-11931. In einem Post beschreibt Facebook die Anfälligkeit im Detail und erklärt welche Versionen betroffen sind.
Laut Facebook basiert die Lücke auf einem stack-basierten Speicherüberlauf, der durch ein manipuliertes MP4-Video ausgenutzt wird. MP4 ist ein komprimiertes MPEG-Videoformat, das auf Apples QuickTime basiert und für viele Web-Videos verwendet wird.
So kann die WhatsApp-Lücke ausgenutzt werden
Der Speicherüberlauf tritt auf, wenn die App die Metadaten der MP4-Datei einliest. Durch eine Manipulation kann der Angreifer die App mit einer Denial-of-Service-Attacke (DoS) oder externem Code überlisten.
Da das Video auch schadhaften Code beinhalten könnte, ist die Installation von Malware in diesem Fall durchaus möglich. Mit der richtigen Malware könnte sich der Hacker völligen Zugang zum Smartphone ermöglichen.
Diese WhatsApp-Versionen sind betroffen
Facebook weist darauf hin, dass sowohl die Consumer- als auch die Geschäftskunden-App von WhatsApp betroffen ist.
Im Detail sind folgende Versionen betroffen:
- Consumer-Version von Android (frühere Versionen als 2.19.274)
- Consumer-Version von iOS (frühere Versionen als 2.19.100)
- Enterprise-Client (frühere Versionen als 2.25.3)
- Business-Version von Android (frühere Versionen als 2.19.104)
- Business-Version von iOS (frühere Versionen als 2.19.100)
- Windows Phone (frühere Versionen bis einschließlich 2.18.368)
Facebook hat bereits ein Update veröffentlicht, dass den Fehler adressiert, dazu gibt es aber noch keine ausführlichen technischen Informationen. Der Internet-Riese weist allerdings darauf hin, dass es momentan noch keine Hinweise auf einen Angriff in der Praxis gibt.
Facebook verklagt Sicherheitsunternehmen
Wie Facebook auf den Fehler aufmerksam wurde ist nicht bekannt, allerdings hat das Unternehmen im letzten Monat erst die israelischen Cyber-Dienstleister der NSO Group verklagt. Facebook wirft der Firma vor, einen Zero-Day-Exploit in WhatsApp gefunden und verkauft zu haben.
Dieser soll dazu benutzt worden sein, rund 1.400 Nutzer zu überwachen, darunter Diplomaten, Journalisten und Dissidenten. Möglich, dass es sich beim jetzt behandelten Fehler um den selben handelt.
