Eines der besorgniserregendsten Lecks, die aus der jüngsten WikiLeaks-Veröffentlichung hervorgegangen sind, ist die Möglichkeit, dass Regierungsorganisationen WhatsApp, Telegram und andere Ende-zu-Ende-verschlüsselte Chat-Anwendungen kompromittieren können. Dies muss zwar noch bewiesen werden, aber viele Endbenutzer sind besorgt über die Ende-zu-Ende-Verschlüsselung von WhatsApp und Telegram, um die Privatsphäre der Benutzer zu gewährleisten. Diese Verschlüsselung soll sicherstellen, dass nur die kommunizierenden Personen die Nachrichten lesen können und niemand dazwischen.
Derselbe Mechanismus war jedoch auch der Ursprung einer neuen Schwachstelle, die wir in den beiden Messaging-Service-Online-Plattformen WhatsApp Web und Telegram Web entdeckt haben. Die Online-Version dieser Plattformen spiegelt alle vom Benutzer gesendeten und empfangenen Nachrichten wider und wird vollständig mit dem Gerät des Benutzers synchronisiert.
Diese Sicherheitsanfälligkeit hätte es Angreifern, wenn sie ausgenutzt wurde, ermöglicht, Benutzerkonten in jedem Browser vollständig zu übernehmen und auf persönliche und Gruppengespräche, Fotos, Videos und andere freigegebene Dateien, Kontaktlisten und mehr der Opfer zuzugreifen. Dies bedeutet, dass Angreifer möglicherweise Ihre Fotos herunterladen und/oder online veröffentlichen, Nachrichten in Ihrem Namen senden, Lösegeld verlangen und sogar die Konten Ihrer Freunde übernehmen.
Wenn Ihnen also das nächste Mal jemand ein Foto einer süßen Katze oder eines heißen Kükens auf WhatsApp oder Telegram schickt, seien Sie vorsichtig, bevor Sie auf das Bild klicken, um es anzuzeigen, es könnte Ihr Konto innerhalb von Sekunden hacken. Eine Computersicherheitsfirma hat am Mittwoch einen Fehler aufgedeckt, der es Hackern ermöglichen könnte, in WhatsApp- oder Telegram-Messaging-Konten einzudringen, indem sie genau die Verschlüsselung verwenden, die zum Schutz von Nachrichten gedacht ist.
Technische Details – WhatsApp
Der WhatsApp--Dateimechanismus unterstützt verschiedene Dokumenttypen wie Office-Dokumente, PDF, Audiodateien, Videos und Bilder. Jeder der unterstützten Typen kann hochgeladen und als Anhang an WhatsApp-Clients gesendet werden.
Das Forschungsteam von Check Point hat es jedoch geschafft, die Beschränkungen des Mechanismus zu umgehen, indem es ein bösartiges HTML-Dokument mit einer legitimen Vorschau eines Bildes hochlädt, um ein Opfer dazu zu bringen, auf das Dokument zu klicken, um sein Konto zu übernehmen. Sobald das Opfer auf das Dokument klickt, generiert der WhatsApp-Webclient mit dem FileReader HTML 5-API-Aufruf eine eindeutige BLOB-URL mit dem vom Angreifer gesendeten Dateiinhalt und navigiert den Benutzer dann zu dieser URL.
Technische Details – Telegramm
Telegram unterstützt mehrere Dokumenttypen, die an die Telegram-Webanwendung gesendet werden, aber die einzigen Bild- und Videodokumenttypen werden im Abschnitt Dateisystem des Browsers gespeichert.
Check Point-Forscher haben es geschafft, die -Richtlinie von Telegram zu umgehen und ein bösartiges HTML-Dokument mit dem Mime-Typ einer Videodatei „video/mp4“ hochzuladen. Dann konnten sie es in einem verschlüsselten Kanal über Telegrammserver an die Opferseite senden. Sobald das Opfer das Video in einem neuen Browser-Tab öffnet, wird es abgespielt und die Sitzungsdaten der Benutzer werden an den Angreifer gesendet.
Interessanterweise ist es die Ende-zu-Ende-Verschlüsselung dieser Apps, die Hackern geholfen hätte, den Fehler auszunutzen. Da die Inhalte von Chats Ende-zu-Ende-verschlüsselt sind, können weder WhatsApp noch Telegram die in einem geteilten schädlichen Bild versteckte Malware sehen. Das bedeutet, dass beide Unternehmen für den Inhalt blind wären und schädlicher Code zwischen Benutzern hin und her weitergegeben werden könnte.
Künftig werden Inhalte vor der Verschlüsselung validiert, erklärt Check Point, wodurch bösartige Dateien blockiert würden. Das Check Point-Team skizziert auch einige Methoden, um sicherzustellen, dass Sie nicht Opfer solcher Hacks werden.
Sicherheitstipps für Check Points:
Obwohl WhatsApp und Telegram diese Sicherheitslücke gepatcht haben, empfehlen wir als allgemeine Praxis die folgenden vorbeugenden Maßnahmen:
1. Bereinigen Sie regelmäßig eingeloggte Computer von Ihrem WhatsApp & Telegramm. Auf diese Weise können Sie die Geräte steuern, auf denen Ihr Konto gehostet wird, und unerwünschte Aktivitäten abschalten.
2. Vermeiden Sie das Öffnen verdächtiger Dateien und Links von unbekannten Benutzern.
Nachdem dieser Fehler behoben wurde, werden nun Inhalte in den Webversionen von WhatsApp und Telegram validiert, bevor die Ende-zu-Ende-Verschlüsselung ins Spiel kommt, wodurch schädliche Dateien blockiert werden können.
