Unicode-Exploit
Whatsapp: Tückische Nachricht lässt Smartphones abstürzen
Auf Reddit stellt ein Nutzer fiese Whatsapp-Nachrichten zur Verfügung, die das Smartphone unter Umständen zum Absturz bringen. Schuld sind Massen unsichtbarer Steuerzeichen. Auch Instagram ist betroffen.
Ein Reddit-Nutzer stellt auf der Social-News-Webseite Nachrichtentexte bereit, die Whatsapp abstürzen lassen können. Dazu muss ein Angreifer lediglich den zur Verfügung gestellten Code kopieren und als Nachricht im Instant-Messenger verschicken. Auf Android-Geräten können App- und System-Abstü...
Ein Reddit-Nutzer stellt auf der Social-News-Webseite Nachrichtentexte bereit, die Whatsapp abstürzen lassen können. Dazu muss ein Angreifer lediglich den zur Verfügung gestellten Code kopieren und als Nachricht im Instant-Messenger verschicken. Auf Android-Geräten können App- und System-Abstürze die Folge sein. Wie der Entdecker der schädlichen Nachricht schreibt, reagiert die Whatsapp-App mancher iOS-Anwender ebenfalls mit einem Absturz.
"This is very Interesting!"
Der Reddit-Nutzer DieHoe entwarf eine Nachricht, deren Zeichen-Kombination Systeme überlasten kann. Auf den ersten Blick ist lediglich "This is very Interesting! (Smile)" zu lesen. Doch hinter der Botschaft verstecken sich jede Menge unsichtbare Unicode-Symbole, die mehr als 40.000 UTF-Zeichen entsprechen. Die plötzliche Datenmenge überlastet den Arbeitsspeicher. Dadurch versagen einige Apps und teilweise sogar Smartphones den Dienst. Das Empfangen der Nachricht reicht für Auswirkungen auf Systeme aus.
Wie DieHoe im Computer-Base-Forum verrät, entdeckte er den Bug durch Zufall, als er mit bidirektionalen Steuerzeichen experimentierte. Diese Unicode-Zeichen steuern die Darstellung von Schriftarten, die in beide Richtungen geschrieben werden können, und erscheinen im Chatfenster unsichtbar. Nach weiteren Versuchen war dem Entdecker der Schwachstelle klar, dass diese unsichtbaren Zeichen in großer Masse in einer Nachricht verschickt Apps und Smartphones zum Absturz bringen.
Auf reddit rät der Autor dazu, die schädlichen Links "mit Vorsicht" einzusetzen. Das Einfügen des Links sollte über Whatsapp Web erfolgen. Beim Kopiervorgang von Smartphone zu Smartphone würde der Angreifer sein Handy selbst lahm legen.
Auch andere Apps betroffen
Der Unicode-Exploit ist nicht auf Whatsapp beschränkt. Auf reddit veröffentlichte DieHoe etwa eine ebenso wirksame Instagram-Nachricht. Lediglich der dargestellte Text, hinter dem sich die unsichtbaren LTR/RTL-Steuerzeichen verbergen, ist mit "<O> Touch the O" eine andere.
Lesetipp: Whatsapp, Facebook und mehr - so erkennen Sie Fake-Apps
Whatsapp selbst äußerte sich bisher noch nicht zu diesem speziellen Fall. Allerdings ist davon auszugehen, dass ein kommendes Update die Unicode-Schwachstelle schließt.
