Eine Sicherheitslücke in Whatsapp erlaubt es Angreifern, mithilfe einer manipulierten Nachricht auf das Dateisystem des Opfers zuzugreifen. Betroffen sind Nutzerinnen und Nutzer, die den Desktop-Client von Whatsapp für Mac und Windows in der Version 0.3.9309 oder niedriger einsetzen. Whatsapp-Mutter Facebook hat im Januar 2020 reagiert und die Lücke mit einem Update geschlossen. Wer die Desktop-App verwendet, der sollte dringend sicherstellen, dass die neuste Version installiert ist. Entdeckt wurde die Lücke von dem Sicherheitsforscher Gal Weizman.
Veraltete Electron-Version ist der Grund für die Sicherheitslücke im Desktop-Client von Whatsapp
Konkret ging die Gefahr davon aus, wie Whatsapp mit der Link-Vorschau umgeht. Die wird nämlich auf Client-Seite erstellt, wodurch sich schadhaftes JavaScript darin verstecken lässt. Moderne Browser verfügen über Sicherheitsmechanismen, um einen solchen Angriff zu unterbinden, die Desktop-App von Whatsapp hingegen bis vor kurzem nicht. Der Grund: Facebook nutzte eine veraltete Version des Open-Source-Frameworks Electron als Grundlage für die Desktop-App von Whatsapp.
Electron basiert auf Chromium, also der Open-Source-Grundlage des Chrome-Browsers, und dient dazu, native Applikationen aus Web-Anwendungen zu machen. Als Weizman die Sicherheitslücke entdeckte, setzte Whatsapp die Electron-Version 4.1.4 ein, die wiederum auf der Codebasis von Chrome 69 basierte. Zu diesem Zeitpunkt hatte Electron allerdings bereits Version 7 erreicht. Chrome wiederum lag in Version 78 vor, als die zugrundeliegende Sicherheitslücke entdeckt wurde – und war da bereits immun gegen den Angriff.
„Wenn Whatsapp seine Electron-Webanwendung von 4.1.4 auf die neueste Version 7.x.x aktualisiert hätte, als diese Schwachstelle gefunden wurde, hätte es dieses Cross-Site-Scripting-Lücke nie gegeben“, so Weizman. Der Sicherheitsforscher schließt aus seiner Entdeckung, dass Entwickler von Electron-basierten Apps ihre Anwendungen immer auf den neusten Stand halten sollten. Wer darüber hinaus wie Whatsapp die Link-Vorschau auf der Senderseite generiert, sollte sicherstellen, dass diese auf der Empfängerseite ordentlich geprüft werden.