GIF Sicherheitslücke in WhatsApp: Android Handys gefährdet!

In älteren WhatsApp Versionen existiert eine Sicherheitslücke: Mit einem manipulierten GIF Bild können Angreifer darüber etwas umständlich Schadcode auf das Handy schleusen. Schuld ist aber nicht WhatsApp, sondern eine Bibliothek zum Anzeigen der Bilder: Die CVE-2019-11932 benannte Sicherheitslücke sitzt eigentlich in der „Android GIF Drawable“ Bibliothek. Glück für iPhone Nutzer: Hier funktioniert ein solcher Angriff nicht.

Schafft ein Angreifer es, die Sicherheitslücke auszunutzen, hat er die gleichen Rechte wie WhatsApp, so thehackernews.com: Der so eingeschleuste Code könnte damit auf Mikrofon und Kamera zugreifen, die Fotos und die SD Karte auslesen und hätte auch Zugriff auf die „WhatsApp message database“.

Die Sicherheitslücke lässt sich aber nicht einfach mit einem erhaltenen GIF Bild ausnutzen: Das Bild muss sich schon auf dem Handy selber befinden. Dazu müsste der Angreifer es zunächst als Datei schicken: Zum Beispiel per WhatsApp oder als Download. Wird dann die Vorschau angezeigt, weil man das Bild selber verschicken möchte, könnte das manipulierte Bild das Handy infizieren.

Betroffen sind Android Handys mit Android 8.1 und 9: Unter Android 8 und älter funktioniert die Sicherheitslücke nicht. WhatsApp hat mit Version 2.19.244 ein Update veröffentlicht, bei dem diese Sicherheitslücke nicht mehr funktioniert: Android Nutzer sollten daher auf die neueste Version updaten. Außerdem existiert mittlerweile ein Update für die verwendete GIF Bibliothek.