In der App von WhatsApp wurde eine kritische Sicherheitsl\u00fccke entdeckt, die eine \u00dcbernahme des Smartphones durch einen Videoanruf erm\u00f6glichen soll.<\/p>\n
<\/p>\n
Ich wei\u00df nicht, ob jemand meiner Blog-Leser\/innen noch WhatsApp bzw. die Android-App verwendet (ich habe diese vor einiger Zeit gel\u00f6scht).<\/p>\n
Entdeckt wurde die Schwachstelle von Natalie Silvanovich, die beim Project Zero aktiv ist. Dieser Post im Chromium-Blog<\/a> stammt bereits vom 31. August 2018. Silvanovich beschreibt dort eine Heap Corruption-Schwachstelle, die zu einem Speicher\u00fcberlauf f\u00fchrt, wenn ein b\u00f6swilliges RTP-Paket (von einem Video-Call) empfangen wird. Dann st\u00fcrzt das Ger\u00e4t bestensfalls ab, im ung\u00fcnstigsten Fall kann ein Angreifer \u00fcber Heap Corruption das Ger\u00e4t \u00fcbernehmen.<\/p>\n Dieses Problem kann auftreten, wenn ein WhatsApp-Benutzer einen Anruf von einem b\u00f6swilligen Kollegen annimmt. Es betrifft sowohl die Android- als auch die iPhone-Clients. Im Chromium-Blog wird erl\u00e4utert, wie sich das Problem reproduzieren l\u00e4sst. Zudem gibt es ein Proof of Concept, um den Fehler auszunutzen.<\/p>\n Der Bug-Report unterlag einer 90-t\u00e4gigen Offenlegungsfrist. Da aber ein Update f\u00fcr WhatsApp verf\u00fcgbar ist, wurde der Bericht f\u00fcr die \u00d6ffentlichkeit freigegeben.<\/p>\n F\u00fcr iPhones ist WhatsApp V 2.18.93 und f\u00fcr Android Version 2.18.302 aktuell. Alles, was nach dem 28.9.2018 ver\u00f6ffentlicht wurde, ist wohl aktuell. Bei heise.de, wo ich auf den Hinweis zur Schwachstelle gesto\u00dfen<\/a> bin, schreibt man, dass nicht allen Android-Nutzern die aktuelle Version im Google Play Store angeboten wird. Vielmehr sei dort die WhatsApp-Version 2.18.293 vom 24.09.2018 zu finden. Bei mir wird im Browser eine Version vom 8.10.2018 angeboten. Falls die alte Android-App-Version angeboten wird, sollte man die kommenden Tage schauen, ob ein Update ansteht. Auf die Installation aus Drittquellen sollte unter Android verzichtet werden.\u00a0WhatsApp hat die App auf die Version\u00a02.18.306\u00a0aktualisiert (siehe<\/a>).<\/p>\n","protected":false},"excerpt":{"rendered":" In der App von WhatsApp wurde eine kritische Sicherheitsl\u00fccke entdeckt, die eine \u00dcbernahme des Smartphones durch einen Videoanruf erm\u00f6glichen soll.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,426],"tags":[4328,3182],"class_list":["post-210404","post","type-post","status-publish","format-standard","hentry","category-app","category-sicherheit","tag-sicherheit","tag-whatsapp"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=210404"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210404\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=210404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=210404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=210404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Probleme beim App-Update<\/h2>\n