News vom 16.07.2019

Schwachstelle in WhatsApp und Telegram: Gesendete Dateien manipulierbar (Android)

Ein Artikel von , veröffentlicht am 16.07.2019

Trotz Ende-zu-Ende-Verschlüsselung sind Dateien, die per WhatsApp und Telegram verschickt werden, nicht vor Angriffen geschützt. Sicherheitsexpert*innen haben eine Schwachstelle in den Android-Versionen der Apps identifiziert. Die gute Nachricht: Sie können eine entscheidende App-Einstellung ändern.

Die beiden Messenger-Apps WhatsApp und Telegram versprechen ihren Nutzer*innen mehr Sicherheit durch Ende-zu-Ende-Verschlüsselung. Das heißt, niemand außer Sender*in und Empfänger*in kann den Inhalt der Nachrichten einsehen. So die Theorie.

Bei WhatsApp ist die Verschlüsselung immer eingeschaltet, bei Telegram kann man sie durch das Starten eines "geheimen Chats" nutzen.

Laut einer Recherche von Sicherheitsexpert*innen des US-amerikanischen Software-Unternehmens Symantec sind in den Android-Versionen der Apps allerdings nur Textnachrichten wirklich geschützt. Dateien, die über WhatsApp und Telegram verschickt werden, können dagegen abgefangen und manipuliert werden.

So können Bilder und Dateien manipuliert werden

Das liegt daran, dass die Apps Dateien aus den Chats im sogenannten externen Speicher des Smartphones ablegen. Dieser Teil des Smartphone-Speichers ist quasi öffentlich - jede App auf dem Smartphone kann auf alle Daten, die dort liegen zugreifen. Dadurch können beispielsweise Fotos problemlos von verschiedenen Anwendungen bearbeitet oder versendet werden.

Das schmale Zeitfenster, in dem die Datei aus dem externen Speicher in den Chat importiert wird, können Angreifer*innen für die Manipulation der Datei nutzen. Die Sicherheitsexpert*innen führten verschiedene Tests für Bilder, Sprachnachrichten und PDF-Dateien durch und veröffentlichten die Ergebnisse in einem Blog-Artikel (auf Englisch).

Wer die als „Media File Jacking“ bezeichnete Android-Schwachstelle ausnutzt, könne beispielsweise eine per WhatsApp oder Telegram versendete Rechnung verändern und die eigene Kontonummer angeben, ohne dass Empfänger*innen dies mitbekommen. Die Schwachstelle funktioniert auch in die andere Richtung: ausgehende Dateien können ebenfalls verändert werden.

Das können Sie tun

Bei WhatsApp werden versendete Dateien automatisch im externen Speicher abgelegt, bei Telegram muss man das erst erlauben. Falls Sie Telegram auf Ihrem Android-Gerät nutzen, ist es gut möglich, dass Sie seit der Inbetriebnahme der App diese Erlaubnis gegeben haben.

Beiden Apps können Sie das Ablegen von Dateien im externen Speicher verbieten.

WhatsApp: Einstellungen > Chats > Sichtbarkeit von Medien (Schieberegler nach links)

Telegram: Einstellungen > Chat-Einstellungen > In der Galerie speichern (Schieberegler nach links)

WhatsApp verteidigt die Einstellung

Die Symantec-Mitarbeiter*innen haben WhatsApp und Telegram über ihre Befunde informiert.

Laut dem österreichischen Technikmagazin Futurezone verteidigt WhatsApp die standardisierte Einstellung damit, dass man sich an der bewährten Praxis und Empfehlungen der Betriebssystem-Hersteller orientiere. Die Funktion erlaube etwa das unkomplizierte Teilen von Dateien mit anderen Apps.

Hinweis: Die Sicherheit Ende-zu-Ende-verschlüsselter Chats bei WhatsApp wird zusätzlich eingeschränkt, sobald man der App ein automatisches Backup erlaubt. Dann werden alle Chatinhalte automatisch in die Google- bzw. Apple-Cloud kopiert, wo sie nicht mehr Ende-zu-Ende-verschlüsselt sind.

Die Autorin

E-Mail

i.poeting@mobilsicher.de

PGP-Key

0x98926A6965C84F21

Fingerprint

7F5D B2F7 C59F 0547 D730 7DD7 9892 6A69 65C8 4F21

Inga Pöting

Seit 2022 baut sie für den ITUJ e.V. ein Team gegen digitale Gewalt auf. Mehr Infos dazu unter: www.ein-team.org. Davor leitete sie die Redaktion bei mobilsicher.de, recherchierte und schrieb Texte, gab Beiträgen von anderen den letzten Schliff und betreute den YouTube-Kanal.

Weitere Artikel

Checkliste 

App-Berechtigungen entschlüsselt (Android)

„Zugriffsrechte jeder App prüfen“ - so lautet ein beliebter Sicherheitshinweis für Android-Nutzer. Aber was bedeuten die einzelnen Rechte überhaupt? Und wozu ist welche Berechtigung nötig? In dieser Liste erläutern wir Zugriffsrechte verständlich und kritisch.

Mehr
YouTube-Video 

Corona-Virus: Welche Apps helfen mit Infos?

Das Corona-Virus ist nonstop in den Nachrichten. Aber gibt es auch eine App, die bei Ablauf und Orga hilft, wenn man das Virus hat (oder den Verdacht)? Wir haben uns für Sie auf die Suche gemacht - bei Android und iOS.

Ansehen
Ratgeber 

Karneval mit Handy? Unsere App-Tipps

Im Play-Store finden sich zum Suchwort „Fasching“ dutzende Apps. Viele davon können nicht mehr als einen Tusch abspielen, sind aber vollgestopft mit Werbung und Trackern. Wir haben vier Karneval-Apps herausgesucht, die Sie bedenkenlos nutzen können.

Mehr
Ratgeber 

Android 10 (Q): Das ist neu bei Sicherheit und Datenschutz

Im September 2019 hat Google die zehnte Version des Betriebssystems Android veröffentlicht. Android 10 (Q) schützt den eigenen Standort und viele andere persönliche Daten deutlich besser vor dem Zugriff von Apps, bringt schnellere Sicherheitsupdates und neue Funktionen zur eigenen Nutzungskontrolle.

Mehr