WhatsApp: Sicherheitslücke durch Bezahlschnittstelle in Android-Version

News

Mal wieder ist eine Sicherheitslücke im beliebten mobilen Messenger WhatsApp aufgetaucht. Öffentlich gemacht haben das die Sicherheitsexperten von Curesec. Es dreht sich dabei um die Übertragung der Bezahlinformationen, die Lücke betrifft nur die Android-Ausgabe von WhatsApp, da nur in dieser Version neben den normalen In-App-Käufen auch Links zum Bezahlen versandt werden können. Neben Google Play steht dort auch Google Wallet und Paypal zum Begleichen seins Abos zur Auswahl.

Problem ist nun die Übertragung der Bezahlinfos, denn während das Senden der Zahlung zwischen WhatsApp-Server und Bezahldienstleister verschlüsselt erfolgt, werden die Daten zwischen dem Browser, der sich beim Bezahlen auf dem Android-Gerät öffnet und den WhatsApp-Server unverschlüsselt übertragen. URLs lassen sich so im Grunde abfangen bzw. manipulieren. Um dies zu tun, müsste der Datenverkehr natürlich mitgeschnitten werden, dies könnte in einem W-Lan-Netzwerk geschehen, aber auch per App direkt auf dem Gerät.

Die Gefahr in der Praxis ist nicht all zu hoch, da der Angreifer erstmal in die Lage kommen muss, Daten mitzuschneiden, diese dann manipulieren muss und der Nutzer dann auf einer gefälschten Seite auch nochmal agieren müsste. Aber dennoch sollten solche sensiblen Infos natürlich generell verschlüsselt übertragen werden.

Curesec hat WhatsApp nach eigenen Angaben über die Lücke mehrfach informiert, erhielt aber bisher keine Antwort.

Danke Tom und Thomas W.!

Fehler meldenKommentare

  1. Das DISQUS-Kommentarsystem verarbeitet personenbezogene Daten. Das System wird aus diesem Grund erst nach ausdrücklicher Einwilligung über nachfolgende Schaltfläche geladen. Es gilt die Datenschutzerklärung.

Du bist hier:
mobiFlip.de / News / ...