WhatsApp „Zero-Day-Exploit“-Nachrichtenschrecken – was Sie wissen müssen

In den letzten ein bis zwei Tagen summte unser Newsfeed mit Warnungen zu WhatsApp.

Wir haben viele Berichte gesehen, die auf zwei Tweets verwiesen, die die Existenz von zwei Zero-Day-Sicherheitslücken in WhatsApp behaupteten und ihre Fehler-IDs als CVE-2022-36934 und CVE-2022-27492.

Ein Artikel, der anscheinend auf diesen Tweets basierte, bestand atemlos darauf, dass es sich nicht nur um Zero-Day-Bugs handele, sondern auch, dass sie intern entdeckt und vom WhatsApp-Team selbst behoben worden seien.

Per Definition ist jedoch a Zero-Day bezieht sich auf einen Fehler, den Angreifer entdeckten und ausnutzten, bevor ein Patch verfügbar war, sodass es null Tage gab, an denen selbst der proaktivste Systemadministrator mit der fortschrittlichsten Einstellung zum Patchen dem Spiel voraus gewesen sein könnte.

Mit anderen Worten, die ganze Idee, zu sagen, dass ein Bug ein Zero-Day ist (oft nur mit einer Ziffer geschrieben, als 0-Tag) ist es, die Leute davon zu überzeugen, dass der Patch mindestens so wichtig ist wie eh und je, und vielleicht noch wichtiger als das, weil es bei der Installation des Patches eher darum geht, die Gauner einzuholen, als ihnen einen Schritt voraus zu sein.

Wenn Entwickler einen Fehler selbst aufdecken und ihn in ihrem nächsten Update von sich aus patchen, ist das kein Zero-Day, denn die Guten waren zuerst da.

Ebenso, wenn Sicherheitsforscher dem Prinzip folgen Verantwortliche Offenlegung, wo sie einem Anbieter die Details eines neuen Fehlers mitteilen, sich aber verpflichten, diese Details für einen vereinbarten Zeitraum nicht zu veröffentlichen, um dem Anbieter Zeit zu geben, einen Patch zu erstellen, ist dies kein Zero-Day.

Das Festlegen einer verantwortungsvollen Offenlegungsfrist für die Veröffentlichung einer Beschreibung des Fehlers dient zwei Zwecken, nämlich dass der Forscher letztendlich die Anerkennung für die Arbeit erhält, während der Anbieter daran gehindert wird, das Problem unter den Teppich zu kehren, da er weiß, dass es sowieso geoutet wird schlussendlich.

Also, was ist die Wahrheit?

Wird WhatsApp derzeit aktiv von Cyberkriminellen angegriffen? Ist dies eine klare und aktuelle Gefahr?

Wie besorgt sollten WhatsApp-Nutzer sein?

Konsultieren Sie im Zweifelsfall den Ratgeber

Soweit wir das beurteilen können, basieren die derzeit kursierenden Berichte auf Informationen direkt aus WhatsApps eigenem 2022 Seite mit Sicherheitshinweisen, wo es heißt [2022-09-27T16:17:00Z]:

WhatsApp Security Advisories 2022 Updates September Update CVE-2022-36934 Ein ganzzahliger Überlauf in WhatsApp für Android vor v2.22.16.12, Business für Android vor v2.22.16.12, iOS vor v2.22.16.12, Business für iOS vor v2.22.16.12 konnte in einem etablierten Videoanruf zur Remotecodeausführung führen. CVE-2022-27492 Ein Integer-Unterlauf in WhatsApp für Android vor v2.22.16.2, WhatsApp für iOS v2.22.15.9 könnte beim Empfang einer präparierten Videodatei eine Remote-Code-Ausführung verursacht haben.

Beide Fehler werden als potenziell führende Fehler aufgeführt Remote-Code-Ausführung, oder kurz RCE, was bedeutet, dass mit Sprengfallen versehene Daten die App zum Absturz zwingen könnten und dass ein erfahrener Angreifer in der Lage sein könnte, die Umstände des Absturzes zu manipulieren, um unterwegs unbefugtes Verhalten auszulösen.

Wenn ein RCE beteiligt ist, bedeutet dieses „nicht autorisierte Verhalten“ normalerweise das Ausführen von bösartigem Programmcode oder Malware, um Ihr Gerät zu untergraben und eine Art Fernsteuerung über es zu übernehmen.

Aus den Beschreibungen gehen wir davon aus, dass der erste Fehler einen verbundenen Anruf erforderte, bevor er ausgelöst werden konnte, während der zweite Fehler so klingt, als ob er zu anderen Zeiten ausgelöst werden könnte, beispielsweise beim Lesen einer Nachricht oder beim Anzeigen einer bereits auf Ihr Gerät heruntergeladenen Datei .

Mobile Apps werden normalerweise viel strenger durch das Betriebssystem reguliert als Apps auf Laptops oder Servern, wo lokale Dateien im Allgemeinen für mehrere Programme zugänglich sind und gemeinsam genutzt werden.

Dies wiederum bedeutet, dass die Kompromittierung einer einzelnen mobilen App im Allgemeinen ein geringeres Risiko darstellt als ein ähnlicher Malware-Angriff auf Ihren Laptop.

Auf Ihrem Laptop zum Beispiel kann Ihr Podcast-Player wahrscheinlich standardmäßig Ihre Dokumente einsehen, auch wenn keine davon Audiodateien sind, und Ihr Fotoprogramm kann wahrscheinlich in Ihrem Tabellenkalkulationsordner herumwühlen (und umgekehrt).

Auf Ihrem Mobilgerät gibt es jedoch normalerweise eine viel strengere Trennung zwischen Apps, sodass Ihr Podcast-Player standardmäßig keine Dokumente sehen kann, Ihr Tabellenkalkulationsprogramm Ihre Fotos nicht durchsuchen kann und Ihre Foto-App nicht kann Siehe Audiodateien oder Dokumente.

Aber selbst der Zugriff auf eine einzelne „Sandbox“-App und ihre Daten kann alles sein, was ein Angreifer will oder braucht, besonders wenn diese App diejenige ist, die Sie für die sichere Kommunikation mit Ihren Kollegen, Freunden und Familie verwenden, wie WhatsApp.

WhatsApp-Malware, die Ihre früheren Nachrichten oder sogar nur Ihre Kontaktliste und sonst nichts lesen könnte, könnte eine Fundgrube an Daten für Online-Kriminelle darstellen, insbesondere wenn ihr Ziel darin besteht, mehr über Sie und Ihr Unternehmen zu erfahren, um es zu verkaufen Insider-Informationen an andere Gauner im Darknet weitergeben.

Ein Softwarefehler, der Cybersicherheitslücken öffnet, wird als a Verwundbarkeit, und jeder Angriff, der eine bestimmte Schwachstelle praktisch ausnutzt, wird als bezeichnet ausbeuten.

Und jede bekannte Schwachstelle in WhatsApp, die für Schnüffelzwecke ausgenutzt werden könnte, ist es wert, so schnell wie möglich gepatcht zu werden, selbst wenn niemand jemals einen funktionierenden Exploit zum Datendiebstahl oder zum Einschleusen von Malware findet.

(Nicht alle Schwachstellen sind am Ende für RCE ausnutzbar – einige Fehler erweisen sich als ausreichend launisch, dass selbst wenn sie zuverlässig ausgelöst werden können, einen Absturz provozieren, oder Verweigerung des Dienstes, sie können nicht gut genug gezähmt werden, um die abgestürzte App vollständig zu übernehmen.)

Was ist zu tun?

Die gute Nachricht hier ist, dass die hier aufgeführten Fehler anscheinend vor fast einem Monat gepatcht wurden, obwohl die neuesten Berichte, die wir gesehen haben, implizieren, dass diese Fehler eine klare und aktuelle Gefahr für WhatsApp-Benutzer darstellen.

Wie die WhatsApp-Ratgeberseite hervorhebt, werden diese beiden sogenannten „Zero-Day“-Löcher in allen Varianten der App, sowohl für Android als auch für iOS, mit Versionsnummern gepatcht 2.22.16.12 oder höher.

Laut Apples App Store ist die aktuelle Version von WhatsApp für iOS (sowohl Messenger- als auch Business-Varianten) bereits verfügbar 2.22.19.78, mit fünf dazwischenliegenden Updates, die seit dem ersten Fix veröffentlicht wurden, der die oben genannten Fehler behoben hat und der bereits einen Monat zurückliegt.

Bei Google Play ist WhatsApp bereits dran 2.22.19.76 (Versionen stimmen nicht immer genau zwischen verschiedenen Betriebssystemen überein, liegen aber oft nahe beieinander).

Mit anderen Worten, wenn Sie Ihr Gerät auf Autoupdate eingestellt haben, sollten Sie bereits seit etwa einem Monat gegen diese WhatsApp-Bedrohungen gepatcht sein.

Um die von Ihnen installierten Apps, das letzte Update und ihre Versionsdetails zu überprüfen, öffnen Sie die App Store App auf iOS bzw Google Play auf Android.

Tippen Sie auf Ihr Kontosymbol, um auf die Liste der Apps zuzugreifen, die Sie auf Ihrem Gerät installiert haben, einschließlich Details zum letzten Update und der aktuellen Versionsnummer, die Sie haben.

---