Zero-Day-Exploit von Whatsapp: Was man weiss

Whatsapp hat kürzlich eine schwerwiegende Lücke gepatcht, die von Angreifern ausgenutzt wurde. Sie installierten Überwachungs-Malware auf einzelnen "ausgewählten" Smartphones aus der Ferne, indem sie die Zielrufnummern einfach über Whatsapp-Audioanrufe anriefen. Dabei sei es nicht nötig gewesen, dass die Zielperson den Anruf annahm. Sie erhielt nicht einmal einen Hinweis auf den Anruf.
 
Whatsapp-Angestellte hätten die Lücke diesen Mai entdeckt. Sie hat inzwischen die Identifikation CVE-2019-3568 erhalten und ist im VoIP-Stack zu finden und auf Pufferüberlauf (Buffer Overflow) zurückzuführen.
 
Der Whatsapp-Exploit sei zu einem unbekannten Zeitpunkt vorher von der israelischen NSO Group entdeckt, zur Waffe "umfunktioniert" und verkauft worden. Dies meldet die 'Financial Times' unter Berufung auf einen anonymen Spyware-Händler.
 
Bei der auf Android- und iOS-Geräten installierten Spyware soll es sich um "Pegasus" handeln, welche von NSO entwickelt wurde und seit 2016 bekannt ist.
 
Sobald Pegasus auf dem Gerät eines Opfers installiert ist, kann die Spyware Anrufe aufzeichnen, Nachrichten öffnen, die Kamera und das Mikrofon des Telefons für die weitere Überwachung aktivieren und Standortdaten weiterleiten.
 
Wie bei der ursprünglichen Entdeckung von Pegasus sollen aktuell ausgewählte Einzelpersonen im Fokus gestanden sein, darunter laut der kanadischen Organisation Citizen Lab ein britischer Menschenrechtsanwalt, der frühere NSO-Spyware-Opfer in Klagen gegen die Israelis vertritt. Frühere Zielpersonen waren Menschenrechtler, Dissidenten und Journalisten.
 
Die NSO Group teilte in einer Erklärung mit, man lizenziere Spyware strikt an Regierungsbehörden und werde "glaubwürdige Vorwürfe des Missbrauchs" untersuchen. Das Unternehmen sei nicht an der Auswahl von Zielpersonen beteiligt.
 
Die Firma von Mark Zuckerberg selbst gab bislang nichts Entsprechendes bekannt. Whatsapp sagte, dass man letzten Freitag die eigenen Server gefixt habe, um zu verhindern, dass Angriffe funktionieren. Nun ist auch ein Patch für End-User da. Direkt informiert habe Whatsapp Menschenrechtsorganisationen.
 
Buffer Overflow ist laut Fachkreisen kein neues oder exotisches Thema für Hacker und entsprechende Lücken können auf schlampiges Programmieren oder spezifische Programmiersprachen zurückgeführt werden. Bei Whatsapp wäre dies Erlang, eine Programmiersprache, die zum Bau massiv skalierbarer Echtzeitsysteme mit Hochverfügbarkeit verwendet wird. Sie wird auch in den Bereichen Telekommunikation, Bankwesen und E-Commerce eingesetzt.
 
'The Register' spottet: "Warum soll man sich die Mühe machen, die starke End-2-End-Verschlüsselung von WhatsApp zu knacken, wenn man einen Puffer überlaufen lassen und den Code selbst hacken kann?"
 
Details sind keine bekannt, so dass auch offen bleiben muss, wieviel Know-how zum Finden und Ausnutzen der Lücke tatsächlich nötig war. Es ist jedenfalls zu vermuten, dass nicht das Massenpublikum ausspioniert werden sollte oder soll. Aber Updaten von Whatsapp und Betriebssystem ist sicher eine gute Idee.
 
Der Reputationsschaden für Whatsapp ist in Fachkreisen jedenfalls da. Immer häufiger wird nämlich inzwischen der Name "Whatsapp" durch " WhatsCrap" ersetzt und getwittert, man wechsle nun zu Signal oder zum Schweizer Messenger "Threema".
 
Auch beim Bund darf Whatsapp nicht mehr für vertrauliche Kommunikation verwendet werden, wie inside-it.ch exklusiv meldete. (mag)