Unicode-Exploit

Whatsapp: Tückische Nachricht lässt Smartphones abstürzen

Auf Reddit stellt ein Nutzer fiese Whatsapp-Nachrichten zur Verfügung, die das Smartphone unter Umständen zum Absturz bringen. Schuld sind Massen unsichtbarer Steuerzeichen. Auch Instagram ist betroffen.

Whatsapp - Warnung vor Abofallen

© Whatsapp / Montage: connect

Ein Reddit-Nutzer entwickelt Nachrichten, die Whatsapp und andere Apps zum Abstürzen bringen. Sogar ein Neustart des Smartphones kann nötig werden.

Ein Reddit-Nutzer stellt auf der Social-News-Webseite Nachrichtentexte bereit, die Whatsapp abstürzen lassen können. Dazu muss ein Angreifer lediglich den zur Verfügung gestellten Code kopieren und als Nachricht im Instant-Messenger verschicken. Auf Android-Geräten können App- und System-Abstürze die Folge sein. Wie der Entdecker der schädlichen Nachricht schreibt, reagiert die Whatsapp-App mancher iOS-Anwender ebenfalls mit einem Absturz.

"This is very Interesting!"

Der Reddit-Nutzer DieHoe entwarf eine Nachricht, deren Zeichen-Kombination Systeme überlasten kann. Auf den ersten Blick ist lediglich "This is very Interesting! (Smile)" zu lesen. Doch hinter der Botschaft verstecken sich jede Menge unsichtbare Unicode-Symbole, die mehr als 40.000 UTF-Zeichen entsprechen. Die plötzliche Datenmenge überlastet den Arbeitsspeicher. Dadurch versagen einige Apps und teilweise sogar Smartphones den Dienst. Das Empfangen der Nachricht reicht für Auswirkungen auf Systeme aus. 

Wie DieHoe im Computer-Base-Forum verrät, entdeckte er den Bug durch Zufall, als er mit bidirektionalen Steuerzeichen experimentierte. Diese Unicode-Zeichen steuern die Darstellung von Schriftarten, die in beide Richtungen geschrieben werden können, und erscheinen im Chatfenster unsichtbar. Nach weiteren Versuchen war dem Entdecker der Schwachstelle klar, dass diese unsichtbaren Zeichen in großer Masse in einer Nachricht verschickt Apps und Smartphones zum Absturz bringen.

Auf reddit rät der Autor dazu, die schädlichen Links "mit Vorsicht" einzusetzen. Das Einfügen des Links sollte über Whatsapp Web erfolgen. Beim Kopiervorgang von Smartphone zu Smartphone würde der Angreifer sein Handy selbst lahm legen. 

Auch andere Apps betroffen

Der Unicode-Exploit ist nicht auf Whatsapp beschränkt. Auf reddit veröffentlichte DieHoe etwa eine ebenso wirksame Instagram-Nachricht. Lediglich der dargestellte Text, hinter dem sich die unsichtbaren LTR/RTL-Steuerzeichen verbergen, ist mit "<O> Touch the O" eine andere.

Lesetipp: Whatsapp, Facebook und mehr - so erkennen Sie Fake-Apps

 Whatsapp selbst äußerte sich bisher noch nicht zu diesem speziellen Fall. Allerdings ist davon auszugehen, dass ein kommendes Update die Unicode-Schwachstelle schließt.

Reddit-Nutzer deckt Whatsapp-Bug auf

Quelle: Youtube - toberkel
0:55 min (English)

Mehr zum Thema

WhatsApp Backup
Änderungen in der Android-App

Whatsapp ändert die Richtlinien für Backups auf Google Drive. Wer seine alten Daten behalten möchte, muss Chats, Bilder und Videos manuell speichern.
Smartphone Sicherheit
Schadsoftware

Sicherheitsforscher entdecken eine Spyware, die Whatsapp-Nachrichten und -Historien auslesen kann. Die Schadsoftware greift Android-Smartphones an.
Mimikama Whatsapp Marlboro
Phishing

Cyberkriminelle verteilen über Whatsapp wieder die Marlboro-"Gutscheine. Tatsächlich steckt ein Phishing-Versuch hinter dem "Marlboro Promotion Day".
WhatsApp App iPhone
Kampf gegen Spam

WhatsApp beschränkt die Möglichkeiten, Nachrichten, Bilder und Videos weiterzuleiten. Damit sollen Spam und Kettenbriefe eingedämmt werden.
whatsapp boomerang feature
Loop-Clips im Stil von Boomerang

Whatsapp arbeitet an einem neuen Feature für sich wiederholende Video-Clips. Vorbild ist eine Funktion der Facebook-Schwester Instagram.