Unicode-Exploit

Whatsapp: Tückische Nachricht lässt Smartphones abstürzen

Auf Reddit stellt ein Nutzer fiese Whatsapp-Nachrichten zur Verfügung, die das Smartphone unter Umständen zum Absturz bringen. Schuld sind Massen unsichtbarer Steuerzeichen. Auch Instagram ist betroffen.

Whatsapp - Warnung vor Abofallen

© Whatsapp / Montage: connect

Ein Reddit-Nutzer entwickelt Nachrichten, die Whatsapp und andere Apps zum Abstürzen bringen. Sogar ein Neustart des Smartphones kann nötig werden.

Ein Reddit-Nutzer stellt auf der Social-News-Webseite Nachrichtentexte bereit, die Whatsapp abstürzen lassen können. Dazu muss ein Angreifer lediglich den zur Verfügung gestellten Code kopieren und als Nachricht im Instant-Messenger verschicken. Auf Android-Geräten können App- und System-Abstürze die Folge sein. Wie der Entdecker der schädlichen Nachricht schreibt, reagiert die Whatsapp-App mancher iOS-Anwender ebenfalls mit einem Absturz.

"This is very Interesting!"

Der Reddit-Nutzer DieHoe entwarf eine Nachricht, deren Zeichen-Kombination Systeme überlasten kann. Auf den ersten Blick ist lediglich "This is very Interesting! (Smile)" zu lesen. Doch hinter der Botschaft verstecken sich jede Menge unsichtbare Unicode-Symbole, die mehr als 40.000 UTF-Zeichen entsprechen. Die plötzliche Datenmenge überlastet den Arbeitsspeicher. Dadurch versagen einige Apps und teilweise sogar Smartphones den Dienst. Das Empfangen der Nachricht reicht für Auswirkungen auf Systeme aus. 

Wie DieHoe im Computer-Base-Forum verrät, entdeckte er den Bug durch Zufall, als er mit bidirektionalen Steuerzeichen experimentierte. Diese Unicode-Zeichen steuern die Darstellung von Schriftarten, die in beide Richtungen geschrieben werden können, und erscheinen im Chatfenster unsichtbar. Nach weiteren Versuchen war dem Entdecker der Schwachstelle klar, dass diese unsichtbaren Zeichen in großer Masse in einer Nachricht verschickt Apps und Smartphones zum Absturz bringen.

Auf reddit rät der Autor dazu, die schädlichen Links "mit Vorsicht" einzusetzen. Das Einfügen des Links sollte über Whatsapp Web erfolgen. Beim Kopiervorgang von Smartphone zu Smartphone würde der Angreifer sein Handy selbst lahm legen. 

Auch andere Apps betroffen

Der Unicode-Exploit ist nicht auf Whatsapp beschränkt. Auf reddit veröffentlichte DieHoe etwa eine ebenso wirksame Instagram-Nachricht. Lediglich der dargestellte Text, hinter dem sich die unsichtbaren LTR/RTL-Steuerzeichen verbergen, ist mit "<O> Touch the O" eine andere.

Lesetipp: Whatsapp, Facebook und mehr - so erkennen Sie Fake-Apps

 Whatsapp selbst äußerte sich bisher noch nicht zu diesem speziellen Fall. Allerdings ist davon auszugehen, dass ein kommendes Update die Unicode-Schwachstelle schließt.

Reddit-Nutzer deckt Whatsapp-Bug auf

Quelle: Youtube - toberkel
0:55 min (English)

Mehr zum Thema

Whatsapp - Warnung vor Abofallen
Kettenbrief auf Whatsapp

Ein Kettenbrief für neue Emojis macht auf Whatsapp die Runde. Auf den Nutzer warten statt animierter Smileys jedoch Abofallen und Pornoseiten.
Messenger-Dienste
Datenschutz und Verschlüsselung

Haben Sie sich schon einmal gefragt, wie sicher der Messenger-Dienst ist, den sie verwenden? Wir haben ihnen in puncto Sicherheit auf den Zahn…
Whatsapp - Warnung vor Abofallen
Fake-App im Android Play Store

Eine gefälschte Version der Messenger-App WhatsApp wurde im offiziellen App-Store von Google angeboten und millionenfach auf Smartphones geladen.
Plagiate mit Ärgerfaktor - Fake Apps
Plagiate im App Store entlarven

Wer eine gute Idee hat, muss damit rechnen, dass sie geklaut wird. Auch App-Entwickler sind betroffen: Der Google Play Store ist voll von billigen…
whatsapp altersbeschraenkung 2018 abfrage
Kein verbesserter Datenschutz durch DSGVO?

Bringt die DSGVO mehr Sicherheit für Nutzerdaten? Zumindest beim Datenaustausch zwischen WhatsApp und Facebook scheint dies nicht der Fall zu sein.
Alle Testberichte
Audio-Technica ATH ADX-5000
Over-Ear-Kopfhörer
Der ATH-ADX5000 von Audio-Technica ist mit seiner offenen Konstruktion eher für den Musikgenuss zu Hause gedacht. Wie klingt der Kopfhörer im Test?
Aquaris V BQ
Android-Smartphones
77,2%
Mit dem Aqua­ris V adressiert BQ preisbewusste Käufer. Was bietet das Smartphone für 250 Euro und wie gut schneidet es…
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.