Bis vor kurzem sorgte eine mittlerweile behobene Sicherheitslücke in WhatsApp dafür, dass Angreifer mittels einer manipulierten Nachricht Zugriff auf Daten erhalten konnten. Bei einem erfolgreichen Angriff war es möglich, kryptografisches Material (Session-Keys) abzugreifen und so eine erneute Verifikation zu umgehen. Dadurch wurde das Mitlesen von Kommunikation und das Abgreifen von Medieninhalten möglich.
Die Android-Version von WhatsApp hatte bis vor kurzem eine Sicherheitslücke, die externen Zugriff auf den Speicherbereich des beliebten Messengers ermöglichte. In diesem Speicherbereich werden sowohl Medieninhalte wie Bilder, Videos oder Audionachrichten abgelegt, aber auch einige Daten, die für die Verschlüsselung der Kommunikation wichtig sind. Wer Zugriff auf diese Daten hat, der kann die Kommunikation entschlüsseln und mitlesen. Man spricht in diesem Zusammenhang von einem „Man-in-the-Disk“-Angriff.
Normalerweise sind Dateizugriffe unter Android streng reglementiert. Jede App darf nur auf die Speicherbereiche zugreifen, die ihr zugewiesen sind. Somit ist es für Apps unmöglich, Daten anderer Apps einzusehen oder gar zu überschreiben. Das Stichwort hier lautet „normalerweise“: Denn diese Art der restriktiven Speicherverwaltung („scoped storage“) existiert erst seit Android 10 und wird erst mit Android 11 Pflicht geworden. Und genau hier liegt das Problem: Die Android-Geräte, die mit der neuesten Version unterwegs sind, stellen die absolute Minderheit dar. Aktuell verfügen nur etwas über acht Prozent der weltweit aktiven Android-Geräte über die aktuellste Version des Betriebssystems. Apps, die Zugriff auf die Speicherbereiche anderer Apps haben wollen, müssen einen gesonderten Freigabeprozess bei Google durchlaufen, um im Play Store zugelassen zu werden. Android 9 und ältere Versionen haben diese Speicherverwaltung jedoch nicht. Und genau hier liegt das Problem: Die Android-Geräte, die mit der neuesten Version unterwegs sind, stellen die absolute Minderheit dar.
Um die WhatsApp-Sicherheitslücke ausnutzen zu können, sind allerdings noch andere Voraussetzungen zu erfüllen – so muss entweder eine bereits kompromittierte App oder eine Schadsoftware installiert sein, die speziell auf die Ausnutzung der Lücke ausgelegt ist. Auch das Vorhandensein einer anderen Sicherheitslücke in einer Android-Komponente lässt sich als „Sprungbrett“ nutzen.
Was für Daten sind hier das Problem?
Problematisch sind im Zusammenhang mit dieser Sicherheitslücke unter anderem die so genannten Session Keys (Sitzungsschlüssel). Diese werden vom Client – also dem Smartphone, auf dem WhatsApp läuft - und dem Server bei Facebook regelmäßig erneuert . So ist gewährleistet, dass beide Parteien auch tatsächlich mit derjenigen Gegenstelle “sprechen”, als die sie sich ausgeben. Um jedoch die Auslastung zu reduzieren, werden diese Sitzungsschlüssel nicht bei jeder einzelnen Verbindung neu ausgehandelt. Das ist in etwa vergleichbar mit einer Situation, in der jemand mit einer Firma telefoniert, auflegt und ihm dann einfällt, dass er noch etwas vergessen hat zu erwähnen. Also ruft der- oder diejenige noch einmal dieselbe Nummer an und landet wieder beim gleichen Mitarbeiter. Statt jedoch erst einmal Kundennummern und persönliche Daten abzugleichen, meldet sich der Anrufer mit “Hallo, wir habe gerade eben schon miteinander gesprochen!”, und die Person am anderen Ende erinnert sich an das Gespräch. Die Unterhaltung geht daraufhin weiter, ohne einen erneuten Abgleich, oder auch eine Verifikation durchzuführen.
Das klingt jetzt erst einmal so, als läge die Hürde für einen Angriff, der auf CVE-2021-24027 basiert, relativ hoch, und wäre damit für Kriminelle unattraktiv. Das ist jedoch nur die halbe Wahrheit. Natürlich bedeutet diese Hürde einen Mehraufwand. Der ist jedoch nicht so hoch, dass niemand sie überspringen würde – vor allem wenn weniger die Inhalte der Kommunikation als vielmehr die Beteiligten an einer Unterhaltung für einen Angreifer interessant sind. Erpressungsversuche, die auf kompromittierendem Bild- und Tonmaterial basieren, sind keine Seltenheit und damit bleibt die Schwachstelle ein Risiko.
Bürgerrechtsorganisationen in vielen Ländern koordinieren ihre Aktivitäten natürlich jedoch auch über verbreitete Messenger. Und den Regierungen sind diese Organisationen meist ein Dorn im Auge, weshalb sie versuchen, Dissidenten zu überwachen und beim geringsten Verdacht festzunehmen. Schon mehr als einmal sind solche MenschenrechtsorgnaisationenMenschenrechtsorganisationen zum Ziel von Angriffen geworden, die von Regierungsbehörden ihres Landes ausgingen.
Wer auf seinem Android-Gerät WhatsApp einsetzt, der sollte umgehend die installierte Version prüfen. Die Sicherheitslücke ist mit Version 2.21.4.18 behoben. Die iOS-Version von WhatsApp ist von der Sicherheitslücke nicht betroffen. Laut CENSUS, die die Sicherheitslücke in WhatApp entdeckt und an Facebook gemeldet haben, gibt es jedoch keine Anzeichen für eine Ausnutzung „in the wild“ .
Tim Berghoff
Security Evangelist