Unicode-Exploit

Whatsapp: Tückische Nachricht lässt Smartphones abstürzen

Auf Reddit stellt ein Nutzer fiese Whatsapp-Nachrichten zur Verfügung, die das Smartphone unter Umständen zum Absturz bringen. Schuld sind Massen unsichtbarer Steuerzeichen. Auch Instagram ist betroffen.

Whatsapp - Warnung vor Abofallen

© Whatsapp / Montage: connect

Ein Reddit-Nutzer entwickelt Nachrichten, die Whatsapp und andere Apps zum Abstürzen bringen. Sogar ein Neustart des Smartphones kann nötig werden.

Ein Reddit-Nutzer stellt auf der Social-News-Webseite Nachrichtentexte bereit, die Whatsapp abstürzen lassen können. Dazu muss ein Angreifer lediglich den zur Verfügung gestellten Code kopieren und als Nachricht im Instant-Messenger verschicken. Auf Android-Geräten können App- und System-Abstürze die Folge sein. Wie der Entdecker der schädlichen Nachricht schreibt, reagiert die Whatsapp-App mancher iOS-Anwender ebenfalls mit einem Absturz.

"This is very Interesting!"

Der Reddit-Nutzer DieHoe entwarf eine Nachricht, deren Zeichen-Kombination Systeme überlasten kann. Auf den ersten Blick ist lediglich "This is very Interesting! (Smile)" zu lesen. Doch hinter der Botschaft verstecken sich jede Menge unsichtbare Unicode-Symbole, die mehr als 40.000 UTF-Zeichen entsprechen. Die plötzliche Datenmenge überlastet den Arbeitsspeicher. Dadurch versagen einige Apps und teilweise sogar Smartphones den Dienst. Das Empfangen der Nachricht reicht für Auswirkungen auf Systeme aus. 

Wie DieHoe im Computer-Base-Forum verrät, entdeckte er den Bug durch Zufall, als er mit bidirektionalen Steuerzeichen experimentierte. Diese Unicode-Zeichen steuern die Darstellung von Schriftarten, die in beide Richtungen geschrieben werden können, und erscheinen im Chatfenster unsichtbar. Nach weiteren Versuchen war dem Entdecker der Schwachstelle klar, dass diese unsichtbaren Zeichen in großer Masse in einer Nachricht verschickt Apps und Smartphones zum Absturz bringen.

Auf reddit rät der Autor dazu, die schädlichen Links "mit Vorsicht" einzusetzen. Das Einfügen des Links sollte über Whatsapp Web erfolgen. Beim Kopiervorgang von Smartphone zu Smartphone würde der Angreifer sein Handy selbst lahm legen. 

Auch andere Apps betroffen

Der Unicode-Exploit ist nicht auf Whatsapp beschränkt. Auf reddit veröffentlichte DieHoe etwa eine ebenso wirksame Instagram-Nachricht. Lediglich der dargestellte Text, hinter dem sich die unsichtbaren LTR/RTL-Steuerzeichen verbergen, ist mit "<O> Touch the O" eine andere.

Lesetipp: Whatsapp, Facebook und mehr - so erkennen Sie Fake-Apps

 Whatsapp selbst äußerte sich bisher noch nicht zu diesem speziellen Fall. Allerdings ist davon auszugehen, dass ein kommendes Update die Unicode-Schwachstelle schließt.

Reddit-Nutzer deckt Whatsapp-Bug auf

Quelle: Youtube - toberkel
0:55 min (English)

Mehr zum Thema

Whatsapp - Warnung vor Abofallen
Kettenbrief auf Whatsapp

Ein Kettenbrief für neue Emojis macht auf Whatsapp die Runde. Auf den Nutzer warten statt animierter Smileys jedoch Abofallen und Pornoseiten.
Whatsapp - Warnung vor Abofallen
Fake-App im Android Play Store

Eine gefälschte Version der Messenger-App WhatsApp wurde im offiziellen App-Store von Google angeboten und millionenfach auf Smartphones geladen.
Plagiate mit Ärgerfaktor - Fake Apps
Plagiate im App Store entlarven

Wer eine gute Idee hat, muss damit rechnen, dass sie geklaut wird. Auch App-Entwickler sind betroffen: Der Google Play Store ist voll von billigen…
WhatsApp Backup
Backups auf Google Drive erstellen

Whatsapp ändert die Richtlinien für Backups auf Google Drive. Wer seine alten Daten behalten möchte, muss Chats, Bilder und Videos manuell speichern.
Whatsapp Kettenbrief
Messenger-Sicherheit

Auf Whatsapp macht wieder ein Kettenbrief die Runde und verspricht bewegliche Emojis. Statt neuer Smileys aktiviert der Nutzer allerdings eine…
Alle Testberichte
Shure KSE1200 Kopfhörer
Elektrostatischer In-Ear-Kopfhörer
Als elektrostatischer Kopfhörer braucht der KSE 1200 Unterstützung vom mobilen Verstärker KSA1200. Im Test beeindruckt der Klang des Gespanns.
Sonoro Stream One-box
One-Box-System
Die Sonoro Stream fällt durch Design und Ausstattung auf. Kann das kleine One-Box-System im Test auch mit seinem Klang überzeugen?
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.