Am 09.10.2018 gab der WhatsApp-Messengerdienst bekannt, dass er Aktualisierungen für iOS und Android bereitgestellt hätte, die eine schwerwiegende Sicherheitslücke ausmerzten. Die Lücke war bereits im August von White-Hat-Hackern des Google Project Zero aufgedeckt worden.

Seitdem hatten die Sicherheitsingenieure des zu der Facebook-Gruppe gehörenden beliebten Messenger-Dienstes an der Fehlerbereinigung gearbeitet. Die Updates waren für Android-Geräte bereits Ende September und für iOS-Geräte Anfang Oktober bereitgestellt worden. Die Lücke konnte daher erst jetzt publik gemacht werden.

Die Sicherheitslücke steckte im WhatsApp Code für die Speicherverwaltung der Video-Conferencing-Funktion. Über einen von Empfänger angenommen Videoanruf hätte ein speziell präpariertes RTP-Paket es ermöglicht, dass der (unbekannte) Absender sehr schnell bösartigen Code übermitteln könnte, um so das Handy zu kapern.

Die Sicherheitslücke ist insofern brisant, da WhatsApp mittlerweile auf mehr als 1,2 Milliarden Mobilgeräten genutzt wird. Allerdings gehen die Sicherheitsexperten bei WhatsApp davon aus, dass sie bisher nicht ausgenutzt wurde, da keine Hinweise dafür gefunden wurden. Es ist bisher auch noch nicht festgestellt worden, ob das Desktop-App des Messengerdienstes ebenfalls betroffen ist.

Artikel von theregister.co.uk, 09.10.2018: Rap for WhatsApp chat app chaps in phone-to-pwn security nap flap
Artikel von reuters.com, 10.10.2018: Facebook’s WhatsApp says has fixed video call security bug
Artikel von heise.de, 10.10.2018: Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0