Sicherheitsforschende warnen vor einer nicht ungefährlichen Sicherheitslücke in der Windows-App für den Messenger-Dienst WhatsApp. Der Mutterkonzern Meta äußerte sich nun dazu und will das Problem überraschend nicht beheben.
Sicherheitslücke in WhatsApp
Zum Hintergrund: Der Cybersicherheitsforscher Saumyajeet Das hat in WhatsApp getestet, ob die App gefährliche Datentypen ohne weiteres öffnet. Dabei kam heraus, dass der Messenger zwar bei den meisten potenziellen Gefahren das direkte Öffnen verhindert. Doch hat der Sicherheitsexperte zusammen mit Bleeping Computer auch zwei Ausnahmen gefunden, wie der Tech-Blog berichtet.
So erlaubt eine Sicherheitslücke in WhatsApp für Windows-PCs etwa, dass Python- und PHP-Anhänge verschickt und ohne Warnung direkt auf dem Computer geöffnet werden, sobald der Empfänger sie öffnet. Klingt nicht nur riskant, sondern kann auch ziemlich viel Schaden anrichten.
Lesetipp: Überraschende Änderung in WhatsApp – wer das bemerkt, sollte sofort handeln
Meta antwortet gelassen
Dabei gibt es jedoch eine wesentliche Einschränkung. Damit sich die jeweilige Datei öffnen kann, muss auf dem Empfänger-PC bereits Python installiert sein. Damit grenzt sich der Kreis der möglichen Opfer von derartigen Angriffen ein auf Softwareentwickler*innen, Sicherheitsforscher*innen und Power-User*innen.
Dieser Fakt könnte der Grund dafür sein, das Meta nicht handeln und die Lücke unberührt lassen will. Denn nachdem Saumyajeet Das die gefündene Sicherheitslücke an WhatsApp gemeldet hatte, passierte rein gar nichts. Nach über einem Monat wurde das Problem-Ticket geschlossen. „Ich habe Meta dieses Problem über ihr Bug-Bounty-Programm gemeldet, aber leider wurde es als N/A geschlossen. Das ist enttäuschend, da es sich um einen offensichtlichen Fehler handelt, der leicht behoben werden könnte“, erklärte Das gegenüber Bleeping Computer.
Auf Nachfragen des Tech-Blogs gab Meta eine nüchterne Antwort: „Wir haben den Vorschlag des Forschers gelesen und schätzen seinen Beitrag. Malware kann viele verschiedene Formen annehmen, darunter herunterladbare Dateien, die den Benutzer täuschen sollen. Deshalb warnen wir die Benutzer davor, auf eine Datei von jemandem zu klicken oder sie zu öffnen, den sie nicht kennen, unabhängig davon, wie sie diese erhalten haben – sei es über WhatsApp oder eine andere App.“ So sehe das Unternehmen kein Problem in der Sicherheitslücke und appelliert an den gesunden Menschenverstand seiner Nutzer*innen.
Mit den Summer Sale-Deals von Jackery 🛒 kannst du dir aktuell leistungsstarke Powerstations zu Spitzenpreisen sichern.
Quelle: Bleeping Computer
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.