Accounts über Foto gehackt

Sicherheitslücke in WhatsApp Web und Telegram Web

Sicherheitsexperten haben eine Schwachstelle im Web-Interface von WhatsApp und Telegram entdeckt. Über ein harmlos aussehendes Foto konnten Hacker die Konten der Nutzer übernehmen.

News
VG Wort Pixel
Sicherheitslücke bei WhatsApp und Telegram
Check Point beschreibt, wie Angreifer die Sicherheitslücke bei WhatsApp und Telegram ausnutzen konnten.
© Check Point

Das Sicherheitsunternehmen Check Point hat eine gefährliche Schwachstelle bei den Messaging-Diensten WhatsApp und Telegram entdeckt. Bei beiden Diensten konnten Angreifer über das Web-Interface und ein eingeschleustes Foto oder Video Zugriff auf den Account ihres Opfers erlangen.

Bei dem Angriffsszenario wird eine manipulierte Datei verschickt. Dabei kann es sich um ein harmlos aussehendes Bild oder Video handeln, hinter dem der Angreifer eine HTML-Datei versteckt. Sobald das Opfer in WhatsApp Web oder Telegram Web diese Datei anklickt, wird er auf eine Webseite mit Schadsoftware weitergeleitet. Anschließend kann der Angreifer den Account des Opfers aus der Ferne übernehmen und auf alle Inhalte zugreifen sowie weitere Malware an dessen Kontakte verschicken. 

Check Point hatte die Sicherheitslücke am 7. März an WhatsApp und Telegram gemeldet. Beide Dienste haben schnell reagiert und die Lücke bereits geschlossen. Um sicher zu gehen, dass man die aktualisierte Version von WhatsApp Web und Telegram Web nutzt, sollte man den Browser neu starten. Die App-Versionen beider Dienste waren wohl nicht betroffen. Ob die Sicherheitslücke tatsächlich ausgenutzt wurde, ist nicht bekannt.

Lesetipp: Telegram: Neue Sticker finden und hinzufügen 

Neuer Sicherheitscheck vor der Verschlüsselung

Der Grund, warum die Sicherheitslücke erst jetzt entdeckt wurde, liegt ausgerechnet bei der Ende-zu-Ende-Verschlüsselung beider Dienste. Die Nachrichten, inklusive aller Dateien wurden ohne vorherige Validierung verschlüsselt. WhatsApp und Telegram konnten die versendeten Inhalte nicht sehen und somit auch nicht verhindern, dass schädliche Dateien verschickt wurden. Jetzt werden Dateien vor der Verschlüsselung validiert, so dass die Dienste manipulierte Dateien ausfindig machen können.

Check Point rät Nutzern dazu, regelmäßig zu überprüfen, auf welchen Geräten der eigene Account aktiv ist, um verdächtige Aktivitäten zu entdecken. Außerdem sollte man keine verdächtigen Dateien oder Links öffnen.​

WhatsApp-Tipp: Speicherplatz sparen

Quelle: WEKA MEDIA PUBLISHING GmbH
Wer über WhatsApp viele Bilder und Videos empfängt, sollte überlegen, ob wirklich all diese Daten stets automatisch auf dem Smartphone abgespeichert werden sollen. Insbesondere wenn der Speicherplatz begrenzt ist, empfiehlt sich eine entsprechende Änderung der WhatsApp-Einstellungen.

16.3.2017 von Gabriele Fischl

Weiter zur Startseite  

Mehr zum Thema

Whatsapp sicherheitsluecke gehackt update

App aus falschem Play Store

Android-Malware verbreitet sich über Whatsapp

Sicherheitsforscher warnen vor einer Malware-App, die über Whatsapp verbreitet wird. Ein Link führt in einen gefälschten Play Store.

Whatsapp - Warnung vor Abofallen

Betrüger setzen auf Datenklau über Messengerdienst

WhatsApp: Aktuelle Betrugsmasche per Code-Nachricht

In seltsamen Whatsapp-Nachrichten fragen vermeintliche Kontakte nach einem Code. Auf die Anfrage sollten Sie nicht antworten. Das steckt dahinter.

Facebook und WhatsApp Logo

End-To-End-Verschlüsselung

Whatsapp: Wie Facebook trotz Verschlüsselung an Ihre Daten…

Über Whatsapp geschriebene Chats sind für Dritte nicht zugänglich. Facebook will die Daten trotz Verschlüsselung analysieren - vermutlich für…

Trojaner im Netz

Schadsoftware in Erweiterung

Whatsapp-Erweiterung bringt Trojaner aufs Smartphone

In der inoffiziellen Erweiterung "FMWhatsApp" für Whatsapp hat sich der Triada-Trojaner eingeschleust und gelangt nach Installation an Ihre Daten.

Whatsapp-Scam Gratis-Internet

Betrugsmasche

WhatsApp-Fake: Betrüger locken mit 50 GB gratis Internet

Auf WhatsApp kursiert eine Nachricht, die 50 GB Datenvolumen für jeden Nutzer verspricht. Dabei handelt es sich um einen Betrugsversuch.