Die gute Nach­richt: Die Sicher­heits­lü­cke bei den Mes­sen­ger Diens­ten Whats­App und Tele­gram ist wie­der geschlos­sen. Der Bug hat­te Angrei­fern erlaubt, sich mit einem Bild bezie­hungs­wei­se Video in den Chat des Opfers zu hacken und so Nach­rich­ten zu lesen oder auf Kon­tak­te zurück­zu­grei­fen. Betrof­fen waren die Web-Ver­sio­nen der Apps. Zur Wie­der­her­stel­lung der Sicher­heit ist ein Update erfor­der­lich.

Gefun­den wur­de die Schwach­stel­le von der Sicher­heits­fir­ma Check Point. Sie ermög­lich­te Hackern, einen HTML-Code auf den Com­pu­ter des Opfers zu plat­zie­ren. Mit­tels die­ses Codes lie­ßen sich dann Befeh­le auf dem frem­den Rech­ner aus­füh­ren. So konn­ten etwa Nach­rich­ten gele­sen oder Bil­der ver­schickt wer­den. Im Fal­le von Whats­App waren die­se bös­ar­ti­gen HTML-Codes als Bild getarnt, bei Tele­gram waren es Vide­os. Das Opfer muss­te die­se dann nur durch ein­fa­ches Ankli­cken öff­nen, schon stand den Hackern das Tor offen.

Ende-zu-Ende-Ver­schlüs­se­lung nicht geknackt

Whats­App setzt in Sachen Sicher­heit auf die Ende-zu-Ende-Ver­schlüs­se­lung. Dabei wer­den die Inhal­te bereits auf dem Device des Ver­sen­ders ver­schlüs­selt und in die­ser Form dann auf den Whats­App-Ser­ver gela­den. Doch die­se Sicher­heits-Schran­ke spiel­te in die­sem Fall den Hackern in die Hän­de: Denn Whats­App konn­te nicht prü­fen, ob es sich bei der angeb­lich ver­sen­de­ten Bild-Datei tat­säch­lich um ein Bild oder eben um einen ver­steck­ten HTML-Code han­del­te. Tele­gram hät­te die ver­sen­de­ten Datei­en hin­ge­gen über­prü­fen kön­nen, hier ver­hin­dert kei­ne geson­der­te Ver­schlüs­se­lung die Kon­trol­le. Doch offen­sicht­lich tat der Mes­sen­ger-Dienst dies nicht.

Bei­de Diens­te reagier­ten aber schnell und schlos­sen ihre Schwach­stel­len. Betrof­fen waren jeweils nur die Web-Ver­sio­nen der Apps. Die Chat-Apps auf den Smart­pho­nes waren nicht betrof­fen. Um ihre Web-Ver­si­on wie­der auf den aktu­el­len Sicher­heits­stan­dard zu brin­gen, wird Usern drin­gend emp­foh­len, ein Update durch­zu­füh­ren.