Kritische Sicherheitslücke in WhatsApp: Update dringend empfohlen

Eine Sicherheitslücke in WhatsApp ermöglicht Dritte den Fernzugriff auf das Gerät – ohne dass es der jeweilige Benutzer sofort merkt. Den Anruf, über den Unbefugte den Angriff einläuten können, muss das Opfer nicht einmal annehmen. Nur wer den Patch von gestern Abend einspielt, kann die Gefahr bannen. In der Beschreibung des Patches geht der Konzern mit keinem Wort auf die Schließung der Sicherheitslücke ein. Die Software ist durch diverse Angriffe auf Dissidenten, Journalisten und Aktivisten bekannt.


Israelische Spyware für Regierungen in aller Welt
Wie die New York Times berichtet, haben Sicherheitsexperten Charakteristiken in der Spyware gefunden, die auf Technologie der israelischen NSO-Gruppe hinweisen. Das Unternehmen stellt Spionage-Software her. Auf die Vorwürfe angesprochen, gab der Konzern bekannt, man lizenziere seine Produkte nur an Regierungsbehörden und werde „alle glaubwürdigen Vorwürfe des Missbrauchs“ untersuchen. Zudem sei man nicht an der Identifizierung von Zielen beteiligt. Zu den Kunden von NSO gehören die Vereinigten Arabischen Emirate, Saudi-Arabien und Mexiko.

Menschenrechtsanwalt unter Beobachtung
Die Sicherheitslücke war durch Angriffe auf einen Menschenrechtsanwalt aus Kanada publik geworden. Der Mann, der aus Angst anonym bleiben will, gab an, er habe verdächtige Video-Anrufe von norwegischen Telefonnummern erhalten. Er kontaktierte daraufhin das Citizien Lab der Munk School of Global Affairs in Toronto, die schon in der Vergangenheit Angriffe auf Journalisten, Dissidenten und Aktivsten aufdeckte. WhatsApp-Ingenieure untersuchten anschließend den Fall und alarmierten nach dem Fund die Menschenrechtsorganisation sowie das Justizministerium. Der angegriffene Kanadier soll an mehreren Klagen gegen NSO beteiligt gewesen sein. Darin sei dem Unternehmen vorgeworfen worden, die Spyware vertrieben zu haben, die zu Angriffen auf saudische Dissidenten, einem Katari und mehrere mexikanische Journalisten verwendet wurde.

Produkte zur Terrorismusbekämpfung gegen Menschenrechtsaktivisten
NSO operiert schon seit Jahren im Verborgenen. 2016 fand man auf dem iPhone eines Menschenrechtsaktivisten in den Vereinigten Arabischen Emiraten schon einmal Produkte des israelischen Unternehmens. Der Mann sitzt inzwischen hinter Gittern. Seitdem treten regelmäßige Funde der Spyware auf iPhones von Journalisten, Dissidenten und sogar Ernährungswissenschaftlern auf, schreibt die New York Times. NSO wirbt dafür, dass die Programme ausschließlich zur Terrorismusbekämpfung und Strafverfolgung eingesetzt würden. Eine hausinterne Ethikkommission entscheide anhand von Menschenrechtsunterlagen, ob die Software in bestimmte Länder verkauft werde.

PR-Kampagne ohne Erfolg
In den letzten Monaten hat der Konzern eine Kampagne gefahren, um seinen Wert für die Strafverfolgung herauszustellen. Dort zeigte NSO Beispiele für den Einsatz der Spyware gegen Drogenbarone und Terroristen. Das Unternehmen habe laut dem Citizen-Lab-Sicherheitsforscher John Scott-Railton Monate damit verbracht, der Welt mitzuteilen, dass man sich seiner Verantwortung bewusst sei und zu einer strengen Aufsicht verpflichtet habe. „Wie dieser Fall sehr deutlich macht – wenn es tatsächlich NSO war – gibt es immer noch ein sehr ernstes Missbrauchsproblem“, so Scott-Railton.

Kommentare

rosss14.05.19 09:50
Wow.

Das heißt, eine Schwachstelle in einer App erlaubt direkt den Weg auf das Gerät. Auch auf dem iPhone laut Artikel.

Also gibt es nach dieser Behauptung ein Riesenloch in der Sandbox von iOS, die Apple jetzt schnellstens fixen muss.

Und DAS gibt keine Klick-Bait Headline? Denn wen kümmert schon der nächste Facebook/WA-Skandal…
+5
TerenceHill
TerenceHill14.05.19 09:59
rosss
Wow.

Das heißt, eine Schwachstelle in einer App erlaubt direkt den Weg auf das Gerät. Auch auf dem iPhone laut Artikel.

Also gibt es nach dieser Behauptung ein Riesenloch in der Sandbox von iOS, die Apple jetzt schnellstens fixen muss.

Und DAS gibt keine Klick-Bait Headline? Denn wen kümmert schon der nächste Facebook/WA-Skandal…

Wenn ich mich nicht täusche, habe ich nichts vom iPhone gelesen. In diesem Artikel wird nicht beschrieben, welche Systeme davon betroffen sind. Jedoch ist so eine Sicherheitslücke besorgniserregenden. Und die betroffenen Systeme müssen unbedingt gefixt werden. Einfach nur krass..
0
TerenceHill
TerenceHill14.05.19 10:09
Diese Whats-App-Versionen sind abgesichert - alle vorigen Ausgaben sind bedroht:

Android: v2.19.134
Business für Android: v2.19.44
iOS: v2.19.51
Business für iOS: v2.19.51
Tizen: v2.18.15
Windows Phone: v2.18.348

Quelle: Heise
+2
john
john14.05.19 10:11
TerenceHill

Wenn ich mich nicht täusche, habe ich nichts vom iPhone gelesen.

hier nicht. aber in den ursprungsartikeln (techcrunch, heise, etc) wird explizit auch vom iphone mit aktuellem system gesprochen
biete support. kostenlos, kompetent und freundlich. wähle zwei.
+2
NONrelevant
NONrelevant14.05.19 10:55
Ich dachte immer, WhatsApp ist eine einzige Spyware mit default eingebauter Sicherheitslücke.
NONrelevant - Wer nicht selber denkt, für den wird gedacht.
+2
Waldi
Waldi14.05.19 11:08
Diese israelische NSO-Gruppe sollte ausgeschaltet werden!
Gehts noch? Spysoftware zur Ausspähung von Regimekritikern an den angeblichen Todfeind Saudi Arabien verkaufen!
vanna laus amoris, pax drux bisgoris
+1
rosss14.05.19 11:09
TerenceHill

Oben verlinkter NYT Artikel:
NYT
Digital attackers could use the vulnerability to insert malicious code and steal data from an Android phone or an iPhone simply by placing a WhatsApp call, even if the victim did not pick up the call
0
Wurzenberger
Wurzenberger14.05.19 11:26
Waldi
Diese israelische NSO-Gruppe sollte ausgeschaltet werden!
Gehts noch? Spysoftware zur Ausspähung von Regimekritikern an den angeblichen Todfeind Saudi Arabien verkaufen!
Iran ist Israels Todfeind, nicht Saudi-Arabien.
0
gegy
gegy14.05.19 12:07
rosss

Also gibt es nach dieser Behauptung ein Riesenloch in der Sandbox von iOS, die Apple jetzt schnellstens fixen muss.

Ich denke nicht, dass die Sandbox damit kompromittiert wurde. Wenn man auf total legitimen Weg in die Sandbox kommt (Anruf bei WhatsApp), dann handelt es sich um ein Sicherheitsloch in WhatsApp und nicht in der Sandbox. Könnte WhatsApp jedoch ohne deine Erlaubnis auf das Adressbuch zugreifen, dann ist da eine Lücke in der Sandbox.
0
sierkb14.05.19 12:12
TerenceHill
Wenn ich mich nicht täusche, habe ich nichts vom iPhone gelesen.

Betrifft iOS und Android:

heise (13.05.2019: WhatsApp gehackt, bitte Update einspielen
Facebook empfiehlt allen WhatsApp-Nutzern dringend, App und Betriebssystem auf den aktuellen Stand zu bringen. Betroffen sind sowohl Android als auch iOS.


Und das hier (MTN hat noch nicht drüber berichtet) betraf/betrifft offenbar nur iOS:

ZDNet (13.05.2019): Twitter bug shared location data for some iOS users
Twitter said "a trusted partner" received some iOS users' geo-location data.

Twitter: A bug impacting collection and sharing of location data on iOS devices

via

/. (13.05.2019): Twitter Bug Shared Location Data For Some iOS Users
+1
sierkb14.05.19 12:27
Nachtrag zu eben, da die Twitter-Sache inzwischen auch auf deutsch lesbar:

heise (13.05.2019): iOS: Twitter trackte Orte, obwohl Funktion abgedreht war
Der Kurznachrichtendienst hat sich entschuldigt, weil er in bestimmten Fällen "irrtümlicherweise" GPS-Daten gesammelt und sogar an Partner weitergeleitet hatte.
+2
MacTaipan14.05.19 13:41
gegy
rosss

Also gibt es nach dieser Behauptung ein Riesenloch in der Sandbox von iOS, die Apple jetzt schnellstens fixen muss.

Ich denke nicht, dass die Sandbox damit kompromittiert wurde. Wenn man auf total legitimen Weg in die Sandbox kommt (Anruf bei WhatsApp), dann handelt es sich um ein Sicherheitsloch in WhatsApp und nicht in der Sandbox. Könnte WhatsApp jedoch ohne deine Erlaubnis auf das Adressbuch zugreifen, dann ist da eine Lücke in der Sandbox.

Es heißt aber, dass über WhatsApp weitere Software auf dem Gerät installiert werden kann, und damit ist es kein reines WhatsApp-Problem mehr.
+2
camaso
camaso14.05.19 15:48
Erhalten auch Nutzer, die wegen einem älteren Handy (iPhone 4s z.B.) nicht mehr updaten können, einen Sicherheitspatch?
0
sierkb14.05.19 16:02
camaso
Erhalten auch Nutzer, die wegen einem älteren Handy (iPhone 4s z.B.) nicht mehr updaten können, einen Sicherheitspatch?

Supportet Apple das iPhone 4s noch? Nein.
Siehe dazu auch das gestrig erschienene Sicherheits-Update auf iOS 12.3:

Apple Support document HT210118: About the security content of iOS 12.3 :
Apple, HT210118
About the security content of iOS 12.3
[…]
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
[…]

Supportet Apple das iPhone 5, iPhone 6, iPhone SE noch? Evtl. demnächst ab iOS 13 wohl auch nicht mehr:

MTN (10.05.2019): iOS 13: Support-Ende für iPhone 6 und älter, sowie iPhone SE?
-1
camaso
camaso14.05.19 16:44
sierkb
camaso
Erhalten auch Nutzer, die wegen einem älteren Handy (iPhone 4s z.B.) nicht mehr updaten können, einen Sicherheitspatch?

Supportet Apple das iPhone 4s noch? Nein.

Typische sierkb Antwort . Über den Tellerrand hinaus zu sehen, versuchst Du schon gar nicht.
Stell Dir vor, es gibt tatsächlich Leute,
  • die aus ökologischen Gründen nicht alles wegwerfen, was aus der Verpackung raus ist,
  • die keine Geld für ein neues Handy haben,
  • die auch keine 3 Euro für Threema haben,
  • die in ihrem Land gar nicht die Möglichkeit haben, etwas anderes als WhatsApp zu nutzen, weil sie sonst einfach allein auf weiter Flur stehen,
  • etc. etc.
Und, nein, es ist auch im Kongo nicht egal, wenn das Handy gehackt wird. Oder noch weniger, als in Mitteleuropa.
0
sierkb14.05.19 17:33
camaso:

Hä? Was soll das jetzt? Was soll dieser vorschnelle aggressive Unterton gegen mich? Um genau so einen aggressiven Kommentar wie den Deinigen als Reaktion zu vermeiden (und bloß keine Angriffsfläche bzgl. eines dummen Kommentars zu geben), habe ich mich mit meiner Antwort auf Deine Frage allein auf die Sachinformationen beschränkt – ohne Wertung meinerseits. Komm' mal wieder runter, Dein rant gegen mich ist hier grad' völlig fehl am Platze. Denn inhaltlich sehe ich es ganz genauso wie Du und gebe Dir mehr als recht – ich finde das genauso bedauernswert, beklagenswet, ja beschissen, wie Du auch!

Wie man's auch macht, macht man's offenbar verkehrt – irgendeiner beschwert sich immer, irgendeiner schlägt immer um sich und will seiner Aggression freien Lauf lassen …
-1
cab
cab14.05.19 17:43
TerenceHill
Diese Whats-App-Versionen sind abgesichert - alle vorigen Ausgaben sind bedroht:

iOS: v2.19.51

Quelle: Heise

Vorgestern wurde bei mir erst aktualisiert auf 2.19.50, aber es ist in meinem AppStore noch keine neuere Version für ein Update verfügbar?
Diese formschöne Signatur gibt es jetzt zum günstigen Einstiegspreis von nur 849,95€ !
0
john
john14.05.19 18:01
cab
TerenceHill
Diese Whats-App-Versionen sind abgesichert - alle vorigen Ausgaben sind bedroht:

iOS: v2.19.51

Quelle: Heise

Vorgestern wurde bei mir erst aktualisiert auf 2.19.50, aber es ist in meinem AppStore noch keine neuere Version für ein Update verfügbar?

heute morgen kam die .51 im appstore
müsste auch bei dir angezeigt werden.

da dieser angriff teuer ist, wird das aktuell „nur“ auf ausgewählte ziele (politische aktivisten, investigativjournalisten, regimegegner, politiker, etc) ausgerichtet sein.
der 0815 user dürfte sich aktuell weniger sorgen machen müssen (womit ich das nicht runterspielen will, aber vor panik bewahren).
biete support. kostenlos, kompetent und freundlich. wähle zwei.
-1
sierkb14.05.19 18:14
Charlie Miller via Twitter, 14.05.2019
my hot take on the whatsapp exploit: code we use has vulnerabilities. this exploit does not necessarily say anything about whatsapp security team efforts, ios vs android, closed vs open source, imessage vs whatsapp, etc.
Q:
Hanno Böck, 14.05.2019
People use the latest vuln in Whatsapp to recommend getting rid of Whatsapp. Don't. It's a poor argument. There's nothing special about this vuln and all competitors will have similar vulns. There's plenty of things to criticize about Whatsapp, this isn't one of them.

[…]
Philipp Hancke via Twitter, 14.05.2019
https://googleprojectzero.blogspot.com/2018/12/adventures-in -video-conferencing-part-5.html … -- "Overall, our video conferencing research found a total of 11 bugs in WebRTC, FaceTime and WhatsApp. The majority of these were found through less than 15 minutes of mutation fuzzing RTP". Sad to see whatsapp didn't fuzz themselves after this...
Q:
Stefan Esser via Twitter, 13/14..05.2019
Again no offense but why do people always jump to comparisons? The fact that Apple devices (software) are highly overrated in terms of security is not changed by how bad or good their competitors are.

[…]

because imho arguments like „well we are more secure than android“ is marketing and not security. It doesn’t matter that android is worse if a few angry teenagers with 3 months of spare time can exploit your phone.

[…]

I am not sure if this is supposed to be irony. When you talk with iOS exploiters they usually can’t stop laughing when it comes to iMessage and its security.

[…]

well first of all it seems to have a big attack surface from what i hear and once you have taken over imessage you again have a way too big attack surface towards the rest of the system

[…]

When the CTO of a security company denies the existence of 0-day you know it is time to switch vendor. Just in case you are their customer.

[…]

Today is a good day to remind people how hard @Apple fought my software #SysSecInfo that tried to give people some inspectability on iPhones. (And yes I know that #NSO sells modules for PEGASUS to hide from #SysSecInfo)

[…]

If your first q today is: damn i got some random calls on whatsapp. Am i infected? Ask @apple to give us inspectability of iPhones. Imagine how awesome it would be if you could press a button combo on an unlocked iphone and it would freeze and open up remote access to RAM & disk

[…]

This whole NSO case shows how useless export control is. Because although Israel is not signing Wassenaar NSO *HAS* export licenses for their stuff.

[…]

The irony is that NSO keeps getting caught publically. And they are just one of hundreds of little shops who develop iOS exploit chains.

[…]

‘The greatest trick of the devil was to make you believe he doesn’t exist’ - perfectly summarizes how a part of “infosec” (the part that has a lot of uninformed opinions on 0-day) and media react every time a 0-day is caught in the wild.

[…]

Yesterday I learned about just another design flaw in Signal. When someone calls you and your signal (for whatever reason) has no access to the microphone you will get no warning about that. However when you initialize the call it will tell you about mic permission

[…]

Nobody will show you their 0-day just because you ask. But I can see how many players these days built teams/companies around iOS exploitation.

[…]

The simple reality is there are so many 0-day exploits for iOS and the only reason why just a few attacks have been caught in the wild is that iOS phones by design hinder defenders to inspect the phones.

[…]

I have no idea how NSO operates. I don’t even know if they have any exploit writers in house or if they just acquire from 3rd parties who might sit anywhere.

[…]

Infosec never learns... So today Whatsapp is the target of mockery because it was exploited. People not realizing that the same kind of exploits exist for Signal and especially for swiss cheese iMessage.

[…]

Modern messengers are like web browsers because of all the rich content. They are usually just harder to fuzz/audit and therefore we don’t see the same stream of vulns reported.

[…]
Q: , , , ,
-1
Wurzenberger
Wurzenberger14.05.19 20:43
Danke!
0
sierkb15.05.19 01:58
heise (14.05.2019): Apple-Updates beheben schwere Lücken in iOS und macOS
Entfernte Angreifer können möglicherweise Schadcode auf dem iPhone ausführen, warnt Apple. Nutzer sollten die jüngsten Updates zügig einspielen.
Patrick Wardle via Twitter, 14.05.2019
💯
Lorenzo Franceschi-Bicchierai @lorenzofb
New: thanks to Apple's locked down architecture on iOS, it's almost impossible to tell whether your iPhone has been hacked.

Here's why, and why that's dangerous.

Motherboard (14.05.2019): It’s Almost Impossible to Tell if Your iPhone Has Been Hacked
A recent vulnerability in WhatsApp shows that there’s little defenders can do to detect and analyze iPhone hacks.

[…]
Thomas Reed, Malwarebytes, 14.05.2019
Fully agreed! If only Apple would give exceptions to selected security companies to allow them the permissions needed to develop security software... but that’ll never happen. 😒

[…]
Q:

Motherboard (14.05.2019): It’s Almost Impossible to Tell if Your iPhone Has Been Hacked
A recent vulnerability in WhatsApp shows that there’s little defenders can do to detect and analyze iPhone hacks.


Check Point Research (14.05.2019): The NSO WhatsApp Vulnerability – This is How It Happened

cyber scoop (12.05.2019): Human rights groups to ask Israeli court to revoke NSO Group’s export license
+1
Pixelmeister16.05.19 09:30
camaso
Erhalten auch Nutzer, die wegen einem älteren Handy (iPhone 4s z.B.) nicht mehr updaten können, einen Sicherheitspatch?
Wahrscheinlich nicht. Allerdings ist auch nicht jeder ein Regime-Gegner, der ausgespäht wird. Hier werden ja teure Werkzeuge genutzt, um eine bestimmte Sicherheitslücke in einer App auszunutzen. Für Massenüberwachung ist das nicht geeignet. Hans-und-Franz können also ihr iPhone 4s oder 3G weiternutzen. Wer aber Angst haben muss, abgehört zu werden, der sollte immer einigermaßen auf dem aktuellen Stand sein, was den IT-Park (und dessen Software) angeht, egal ob beim Smartphone, beim Computer, dem WLAN-Router oder Smart-TV.

"aktuell" heißt z.B. beim Smartphone: Bei Apple rund 4 Jahre (3 bis 5, je nach Modell), bei Android rund 1,5 Jahre (2 Jahre bei manchen Spitzenmodellen, ein Jahr oder weniger bei den billigen).
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen