Lücke seit einem Jahr bekannt
WhatsApp Web: Gespräche und Zitate lassen sich weiterhin fälschen
Im August 2018 machten die Security-Forscher von CheckPoint auf eine Schwachstelle bei der Facebook-Tochter WhatsApp aufmerksam.
Damals führten die IT-Forensiker an, dass Nutzer in Gruppengesprächen die Zitat-Funktion des Messengers nutzen könnten, um Dritten beliebige Worte in den Mund zu legen, Namen nach Belieben zu ändern und die Zustellung privater Nachrichten vorzutäuschen. Würden Chat-Teilnehmer auf Letztgenannte antworten, wäre diese Antwort wieder für alle Gruppenteilnehmer sichtbar.
Jetzt, genau ein Jahr später, haben sich die CheckPoint-Forscher abermals zu Wort gemeldet. Die Kritik bleibt gleich: Nach wie vor sei es möglich die Zitat-Funktion auszutricksen.
Die Forscher extrahierten dafür die zur Entschlüsselung der Gruppennachricht notwendigen Crypto-Schlüssel aus der Online-Ansicht „WhatsApp Web„, manipulierten ein beliebiges Zitat, verschlüsseln dieses erneut und setzen es in das laufende Gespräch ein.
Eine Herangehensweise, die es auch möglich macht dem Gegenüber in laufenden Zweier-Chats beliebige Wörter in den Mund zu legen.
CheckPoint hat WhatsApp bereits über die Hintergründe des hier im Detail beschriebenen Angriffs formuliert – bislang hat die Facebook-Tochter jedoch nicht reagiert.
Auf Grundlage des „Responsible Disclosure“-Prozess informierte CheckPoint Research WhatsApp über die Erkenntnisse. Aus Sicht von CheckPoint Research sind wir der Meinung, dass diese Schwachstellen von größter Bedeutung sind und Aufmerksamkeit erfordern. Um die Schwere dieser Schwachstelle in WhatsApp zu demonstrieren, haben wir ein Tool entwickelt, das es uns ermöglicht, die WhatsApp-Kommunikation zu entschlüsseln und die Nachrichten zu manipulieren.
Das eingebettete Video zeigt die möglichen Angriffe im Detail.