Hacker-Tool für Regierungen hatte Zugriff
WhatsApp-Sicherheitslücke ermöglichte Spyware-Installation
WhatsApp war für einen bislang unbestimmten Zeitraum über eine schwerwiegende Sicherheitslücke angreifbar. Mit den geeigneten Werkzeugen war es Angreifern offenbar möglich, die Inhalte von WhatsApp-Chats und möglicherweise auch Telefonate auszuspähen.
Der Fehler wurde der WhatsApp-Mutter Facebook zufolge auf dem iPhone mit dem Update auf die WhatsApp-Version 2.19.51 und auf Android mit WhatsApp 2.19.134 bereits behoben. Zuvor konnte durch modifizierte Sprachpakete und fingierte WhatsApp-Anrufe Malware eingeschleust werden, unabhängig davon, ob der Nutzer diese Anrufe angenommen hat.
Bilder: depositphotos.com
Wie das Magazin TechCrunch in Erfahrung bringen konnte, wurde die Sicherheitslücke auch aktiv ausgenutzt, offenbar in Verbindung mit einer vom israelischen Spionagesoftware-Anbieter NSO Group vor allem an Regierungen verkauften Schnüffelwerkzeug.
Vor allem hochrangige Ziele gefährdet
Einziger Trost für das Gros der Endnutzer ist die Tatsache, dass die Ausnutzung der Sicherheitslücke wohl sehr aufwändig und zudem mit der kostspieligen Anschaffung besagter Software verbunden ist. Potenzielle Ziele vom Attacken dürften daher eher politische Aktivisten oder mit sensiblen Daten betraute Politiker oder Geschäftsleute sein.
Falls noch nicht geschehen, ist das Update auf die aktuelle Version des Messengers also unbedingt ratsam. Grundsätzlich gilt die Empfehlung, Updates für Software nach Möglichkeit immer zeitnah durchzuführen.
„Durch fingierte Anrufe“. Wow, kann mir jemand grob erklären wie sowas funktioniert? Hört sich für mich immer an wie in nem Agentenfilm :-D
Ich vermute mal ein ähnliches Prinzip wie bei der „stillen sms“
Mal ganz einfach gesagt während der Ruf aufgebaut wird, also Freizeichen bei dem einen, Klingeln bei dem anderen werden via Töne oder eben kleine Datenpakete an eine bestimmte Schnittstelle in, in diesem Fall, der WhatsApp Software Sicherheitslücke ein ich nenne es mal Tor geöffnet über dieses dann weitere Software installiert werden kann.
Wie gesagt dies ist die sehr vereinfachte Variante der Erklärung
Aber genau mein Niveau was diesen Bereich betrifft :-D
Besten Dank
Also kann auf iOS nur innerhalb der Sandbox auf Daten von WhatsApp zugegriffen worden sein?
In den Medien liest man überall nur davon, dass die Spyware auf dem Handy installiert werden konnte, das würde ja einen größeren Zugriff bedeuten.
Ich würde mich nicht auf die Sandbox verlassen. Da gab es schon öfter Mängel.
@Jürgen: Quellen?!!
Vergessene Beschränkungen bei Systemfunktionen:
https://www.iphone-ticker.de/kurzbefehl-app-legt-geschuetzte-iphone-dateien-frei-136489/
Teilweise gibt Apple Apps auch besondere Rechte, ohne das der Benutzer etwas davon erfährt:
https://www.iphone-ticker.de/extrawurst-fuer-uber-apple-ermoeglichte-display-aufnahmen-117512/
Das war jetzt nur eine kleine Auswahl von Mängeln, die ich noch im Kopf hatte. Man kann also davon ausgehen, dass die Sandbox nicht sicher ist. Die Hersteller von solchen Tools werden das wohl auch lösen können.
Der erzählt doch Blödsinn. Bei Android sieht es anders aus. Aber bei Apple ist alles sicher. Apps dürfen noch nicht mal Code nachladen.
Lustiger Kommentar. iPhones sind die sichersten Smartphones die es gibt und bleiben es auch.
@Fakt und carstentrading:
iPhones sind vermutlich die sichersten Standardhandys. Man sollte sich aber nicht von Apple blenden lassen, dass man damit sicher ist.
War es nicht so, dass zusammengehörende Apps (beschränkten) Zugriff aufeinander haben? Also in diesem Falle die Facebook Apps.
Laut eines anderen Berichts soll die Spyware Mikrofon und Kamera aktiviert haben, um zu schnüffeln.
Da WhatsApp zwecks Videotelefonie in der Regel Zugriff auf diese beiden gewährt wird, schützt hier auch kein Sandboxing.
Ich denke ihm geht es in der Frage eher um allgemeine Daten im iOS System.
Außer auf Bilder, deren Zugang man in der Regel WhatsApp genehmigt, müsste der Rest eigentlich sicher sein.
Und die Kontakte, ggf. Dateien auf iCloud Drive usw.
So trivial ist das leider nicht…
@OliverH: Ich finde jetzt den Zugriff auf Kamera und Mikrofon mindestens genauso bedenklich wie auf die Daten innerhalb oder außerhalb der Sandbox.
Super Tool dieses WhatsApp. Allein der Name ist schon schräg. Es gibt tolle Alternativen, aber niemand aus meinem Dunstkreis steigt ernsthaft um. Das ist doch bekloppt…
Das Problem kenne ich , hab mal versucht Threema zu etablieren…die meisten wollten nicht weil sie ja einmal Geld bezahlen müssten -.- und WhatsApp ist ja schon da und kostet nix und Blablabla…
Empfiehl Signal. Gut und gratis. Du wirst aber feststellen, dass es nicht am Preis liegt, auch nicht an der Qualität.
Um Telefonieren zu können, braucht man ein Telefon. Da kannste noch so sehr CB-Funk oder Walki Talki empfehlen, es wird niemand umsteigen. Thats it.
Hab’s auch mal versucht…
jeder weiß wie schräg die sind aber keiner macht was.
+1
Nutzt du denn noch WhatsApp? Da ich keins habe, ist mein Bekanntenkreis freiwillig umgestiegen.
Genau! So geht das!
Ja, notgedrungen muss ich es nutzen… :-(
Tatsache ist, dass immer mehr umsteigen. Tatsache ist auch, dass es dafür bereits zu spät ist, das Facebook schon hat, was es wollte. Also ist’s eigentlich egal.
Ich wette woanders gibt es auch Lücken, nur wird immer da am meisten kompromittiert wo es sich am meisten lohnt
Ich würde das Statement sichern!
Wenn Threema mal (wieder) angegriffen wird oder Signal, kannste den wieder aus der Mottenkiste klauben: „Super Tool dieses [Name]. Allein der Name ist schon schräg.“
Yaey, zurück zur Wählscheibe! Wobei manche ja behaupten, auch damals habe es in der Leitung zuweilen geknackt…
Ich mache das anders. Ich nutze keine Messenger. Wer was von mir will schreibt mir eine sms oder ruft mich an. Wer es nicht macht hat Pech gehabt. Also schreiben mich alle fleißig über sms oder iMessage an. Oder E-Mail geht natürlich auch. Klappt wunderbar. Die Dienste zu nutzen weil man denkt die Freunde schreiben oder melden sich dann nicht mehr, das sind dann keine Freunde. Ganz einfach.?
Wenn ich irgendwie wichtig wäre, würde ich es auch tunlichst vermeiden über WhatsApp sensible Daten oder allzu Privates zu versenden.
Ich hoffe, dass zumindest unsere Politiker sich genauso verhalten.
Wenn ich schon sehe wieviele meiner Kollegen auf ihrem Firmenhandy WhatsApp installiert haben obwohl das eindeutig in den Richtlinien untersagt wurde, dann ahne ich schlimmes.
„Wenn ich irgendwie wichtig wäre“ ist für mich genau DER Satz, der dazu führt, dass Datenschutz keinen interessiert und deshalb whatsApp weiterhin marktführend bleibt. Traurig.
Mich interessiert Datenschutz sehr, allerdings gehe ich nicht soweit, die gängigen Netzwerke nicht zu nutzen. Als langweiliger Privatmann hält sich das Risiko in Grenzen wenn man etwas aufmerksam ist.
Dein Argument in anderen Worten ausgedrückt: „Ich habe doch sowieso nichts zu verbergen.“
Willst du wissen, was Edward Snowden dazu sagt?
„Diese Menschen suchen nach Kriminellen. Du kannst der unschuldigste Mensch der Welt sein, aber wenn jemand, der nach Anzeichen von Straffälligkeit sucht, deine Daten durchsucht, findet er nicht dich – er findet einen Kriminellen.“
Darüber hinaus geht es nicht darum, ob man etwas zu verbergen hat, sondern um Privatsphäre.
Wärst du damit einverstanden, wenn Regierungsbeamte deine persönliche Nacktfotosammlung durchstöbern?
Wärst du damit einverstanden, wenn kurz ein paar freundliche Herren von der Regierung vorbeikämen und eine Kamera und ein Mikro in deinem Wohnzimmer installieren und dann wieder gehen? Weil du ja sowieso nichts zu verbergen hast?
Wärst du damit einverstanden, wenn deine Gedanken aufgezeichnet und zum öffentlichen Abruf im Internet bereitstünden?
Wehret den Anfängen…
Lesetipp: 1984 von George Orwell.
@Jonathan
Du dichtest mir jetzt einfach an, dass ich gesagt hätte ich habe nichts zu verbergen. So funktioniert eine Diskussion nicht!
Ich schrieb lediglich, dass auch ich als Privatmann aufmerksam mit meinen Daten umgehe, aber dennoch die gängigen Apps nutze. Und glaub mal nicht, dass die im AppStore verfügbaren Alternativen keine Sicherheitslücke haben können.
@Basti:
Du hast von „Wenn ich irgendwie wichtig wäre“ und Politikern gesprochen, das setze ich gleich mit „ich habe nichts zu verbergen“.
Es geht aber gerade darum, dass Datenschutz und Privatsphäre nicht bloß ein Privileg für „besonders wichtige Menschen“ sein sollten, sondern ein Recht für JEDEN Menschen.
Denn sonst sind wir ja wieder direkt bei dem Punkt, dass es völlig okay sei die breite Masse abzuhören, weil die ja nichts zu verbergen hat.
Davon, dass nicht auch andere Apps potentielle Sicherheitslücken aufweisen können, habe ich hingegen nie gesprochen. Da dichtest du mir jetzt etwas an.
Und nicht zu vergessen, wie man blöd und ggf. vor dem Ruin da steht, wenn es um Identitätsdiebstahl geht!!!
Dann sollte sich deine Firma mal um ein vernünftiges Mobile Device Management kümmern. Nur eine Richtlinie zu haben, und die nicht durchzusetzen, nutzt euch im Fall einer Datenschutzpanne gar nichts.
Da stimme ich dir zu
Die Frage aktuell ist ja eigentlich eher ob die iOS Sandbox durchbrochen werden konnte. So wie es in einigen Berichten dazu klang, könnten nämlich auch iPhones komplett ausspioniert werden…nicht nur innerhalb der App WhatsApp sondern auch andere Daten der iOS Geräte…das wäre schon erschreckend!
Oh nein, und ich habe darüber wieder die Codes für die Atombomben verteilt…
Wenn die wirklich nur WhatsApp lesen konnten, sollte es keinen halbwegs intelligenten Menschen getroffen haben. Als Journalist kann man vielleicht nicht immer entscheiden, worüber die Hinweise kommen. Aber da sollte man auch bei der ersten Kontaktaufnahme auf andere Wege verweisen.
Threema und gut. Leider begreift das keiner b.z.w. steigt keiner um den es könnte ja mit Arbeit und Stress verbunden sein. Ich nutze es ab und an auch und es geht viel flüssiger und angenehmer.
Immer diese „Threema und alles wird gut“ Gequatsche….
WhatsApp wird nicht angegriffen weil es ein grünes Icon hat oder Facebook gehört. Sondern weil man dort die meisten „Opfer“ trifft.
Würde sich jetzt jeder für einen Umstieg auf threema entscheiden, würden die Angriffe sich auf Threema fokussieren.
Und dann?
„WhatsApp und gut“?
Danke, wenigstens einer der es versteht.
Kein System ist 100% sicher, damit sollte man sich auch als Aluhut-Threema-Nutzer abfinden!
Genau!
Doch sms. Und heutzutage hat fast jeder Anruf eine sms flat.
Du solltest dich erst mal mit Threema beschäftigen und nicht das nach quatschen was hier die Leute quaken, die auch die Bild Zeitung lesen. Es ist immer das selbe von euch Blätter Sammlern man ja nicht vom Zug abspringen bevor es nicht alle machen.
Threema oder was auch immer wird auch seine Lücken haben. Wenn dort genug Nutzer sind, wird das dann auch interessant für die bösen Buben…
Bei mir ist die Version 2.19.51 erst heute als update aufgeschlagen!
Also sehr kurzfristig von Facebook verteilt, oder?!
Ich habe seit 2016 kein WhatsApp mehr. Ich nutze nur iMessage. Am Anfang waren es einige die mich deswegen anblökten, mittlerweile wissen alle wie sie mich erreichen.
Eine neue Woche ein neuer Facebook Skandal.
Sehr schön. Jeder der Whatsapp nutzt in Zeiten der sms Flags hat selber schuld. Mir kam und kommt kein einziges Programm oder App von Google Facebook. Oder Microsoft aufs Handy, auf den Laptop oder auf den pc. Ich bleibe fleißig beim MacBook, iMac, iPad und iPhone ohne diese Apps und Dienste. Besser ist das. Jetzt wieder eine. Klare Bestätigung dafür, dass man besser einen riesengroßen Bogen um die amerikanischen Dienste macht, außer Apple.
ist jedem wurscht und jeder nutzt es einfach weiter, als wäre nichts gewesen.
Ha…nicht betroffen…nutze diesen Mist nicht mehr. Familie und Freunde nutzen zum Glück vernünftige Messanger z.B. iMessage, Threema oder Telegram. Nicht diesen Mist von Facebook.