Lücke seit einem Jahr bekannt
WhatsApp Web: Gespräche und Zitate lassen sich weiterhin fälschen
Im August 2018 machten die Security-Forscher von CheckPoint auf eine Schwachstelle bei der Facebook-Tochter WhatsApp aufmerksam.
Damals führten die IT-Forensiker an, dass Nutzer in Gruppengesprächen die Zitat-Funktion des Messengers nutzen könnten, um Dritten beliebige Worte in den Mund zu legen, Namen nach Belieben zu ändern und die Zustellung privater Nachrichten vorzutäuschen. Würden Chat-Teilnehmer auf Letztgenannte antworten, wäre diese Antwort wieder für alle Gruppenteilnehmer sichtbar.
Jetzt, genau ein Jahr später, haben sich die CheckPoint-Forscher abermals zu Wort gemeldet. Die Kritik bleibt gleich: Nach wie vor sei es möglich die Zitat-Funktion auszutricksen.
Die Forscher extrahierten dafür die zur Entschlüsselung der Gruppennachricht notwendigen Crypto-Schlüssel aus der Online-Ansicht „WhatsApp Web„, manipulierten ein beliebiges Zitat, verschlüsseln dieses erneut und setzen es in das laufende Gespräch ein.
Eine Herangehensweise, die es auch möglich macht dem Gegenüber in laufenden Zweier-Chats beliebige Wörter in den Mund zu legen.
CheckPoint hat WhatsApp bereits über die Hintergründe des hier im Detail beschriebenen Angriffs formuliert – bislang hat die Facebook-Tochter jedoch nicht reagiert.
Auf Grundlage des „Responsible Disclosure“-Prozess informierte CheckPoint Research WhatsApp über die Erkenntnisse. Aus Sicht von CheckPoint Research sind wir der Meinung, dass diese Schwachstellen von größter Bedeutung sind und Aufmerksamkeit erfordern. Um die Schwere dieser Schwachstelle in WhatsApp zu demonstrieren, haben wir ein Tool entwickelt, das es uns ermöglicht, die WhatsApp-Kommunikation zu entschlüsseln und die Nachrichten zu manipulieren.
Das eingebettete Video zeigt die möglichen Angriffe im Detail.
Wer WhatsApp nutzt ist selber Schuld, das die Daten nicht „sicher und privat“ sind sollte doch nun keine Überraschung darstellen, oder ?
Kein Mitleid von mir.
Das eine hat mit den anderen nichts zu tun. Das hier nun beschriebene sagt das immer noch Chats gefälscht werden können bzw. das einen Worte in den Mund gelegt werden können.
Eigentlich Chattet Mann/Frau ja mit Freunden/Bekannten und da sollte so etwas eigentlich nicht vorkommen. Sowohl das die einfach die Daten weitergeben, noch dass die einen Wörter in den Mund legen.
So nun siehst du auch mal wie einfach es ist bei iFun einen Fremden Wörter in den Mund zu legen.
welcher hintermondler hat kein whatsapp?
deine alternativ apps sind nicht sicherer falls du es glaubst
Von iMessage, Signal oder Threema hat man noch nichts über diese Lücke gehört. Und wenn doch mal was ist, werden die Lücken zeitnah gepatched. Also doch, Alternativen sind sicherer.
*OFF-Topic*
Sorry, dass ich die Kommentarfunktion missbrauche, aber vielleicht kann mir einer von euch helfen.
Seit geraumer Zeit werden Mitteilungen bei mir nicht mehr auf dem gesperrten Display dargestellt, heisst, das Display bleibt dunkel. Das eine Mitteilung gekommen ist, erkenne ich am Ton und dass die Uhr die Meldung darstellt.
Auch wenn ich keine Änderung vorgenommen habe, der Hinweis, alle Mitteilungen sind angeschaltet, in allen Stilen.
Von Apple kam nur zurücksetzen und Netzwerkeinstellungen löschen, habe ich getan, aber keine Änderung. Auch ein Test mit der Neuinstalltion von ein paar Apps brachte keine Änderung. Ich erhalte die Meldung „Mitteilungen erlauben… bla bla bla“, aber auch danach tut sich nichts auf dem Display.
Hat einer von euch einen Tip? Vielen Dank vorab!
Der „Nicht Stören “ Modus ist auch deaktiviert? Wenn alles nicht hilft muss man wohl oder übel das Gerät neu aufsetzen.
Das hatte ich auch mal und ging erst nach einer sauber Neuinstallation von IOS weg. Also löschen IOS nau aufspielen DSN Datensicherung zurückspielen. Alternativer Gedanke wäre von mir die IOS 13 Beta testen, wenn es ein Zweitgerät ist.
Macht Sinn eine Beta auf einem zweit Gerät dann und wann anstatt in den täglichen Abhandlungen zu testen und Informationen zum Verhalten zu sammeln !
@Bernhard
@Cooljeam
Ja, „Nicht stören“ ist aus und leider kein Zweitgerät.
Wird durch das zurückspielen der Datensicherung nicht der Fehler wieder mit eingespielt? Oder „denke“ ich hier falsch? Es werden doch alle Einstellungen mit gespeichert, die von iOS und die der Apps…
Ich dachte es sei normal. Du bekommst doch die Meldung auf der Uhr, wo man dann sowieso eher (Reflex) drauf schaut. Wieso soll das Handy zusätzlich an gehen?
Hast du vielleicht eine Smart watch? Bei mir erscheint dann, bei einer Koppelung zur Uhr, auch erst einmal nichts auf dem Handy.
@Pash
Das ist keine Apple watch. Auf meiner wird nur dargestellt, dass ich was bekommen habe z.B. Mail, aber ich sehe nicht den Inhalt. Bei der Arbeit liegt das Telefon neben mir und ich konnte entscheiden reagiere ich drauf oder nicht. Jetzt muss ich es jedes Mal in die Hand nehmen um zu schauen, was da gekommen ist.
Es wurde aber auch schon gesagt,das diese Verfälschung immer nur im Zitat selber stattfindet und nicht im Originaltext. Dieser bleibt weiterhin so wie er ist. Das macht das ganze weniger dramatisch. Ist vergleichbar wie bei einer Mail der ursprüngliche Text an die Antwort angefügt wird. Dieser lässt sich auch nach Belieben „verfälschen“.
Hab ich mir auch grad gedacht mit gleichem Beispiel. Total unnötig :D
Ab April gibt es WhatsApp Web eh nicht mehr, dank Apples neuen Regeln ab iOS 13. Facebook arbeitet aber bereits an einem nativen Clint für den Rechner. Sicher wird das Problem spätestens dann gefixt sein. Bleibt nur zu hoffen, dass sie sich nicht wieder ewig Zeit lassen und die App dann auch im April raus ist.
It’s not a bug, it’s a feature! ;-)