WhatsApp: Sicherheitslücke durch Bezahlschnittstelle in Android-Version

whatsapp android iconMal wieder ist eine Sicherheitslücke im beliebten mobilen Messenger WhatsApp aufgetaucht. Öffentlich gemacht haben das die Sicherheitsexperten von Curesec. Es dreht sich dabei um die Übertragung der Bezahlinformationen, die Lücke betrifft nur die Android-Ausgabe von WhatsApp, da nur in dieser Version neben den normalen In-App-Käufen auch Links zum Bezahlen versandt werden können. Neben Google Play steht dort auch Google Wallet und Paypal zum Begleichen seins Abos zur Auswahl.

Screenshot_2013-07-26-16-19-30

Problem ist nun die Übertragung der Bezahlinfos, denn während das Senden der Zahlung zwischen WhatsApp-Server und Bezahldienstleister verschlüsselt erfolgt, werden die Daten zwischen dem Browser, der sich beim Bezahlen auf dem Android-Gerät öffnet und den WhatsApp-Server unverschlüsselt übertragen. URLs lassen sich so im Grunde abfangen bzw. manipulieren. Um dies zu tun, müsste der Datenverkehr natürlich mitgeschnitten werden, dies könnte in einem W-Lan-Netzwerk geschehen, aber auch per App direkt auf dem Gerät.

Die Gefahr in der Praxis ist nicht all zu hoch, da der Angreifer erstmal in die Lage kommen muss, Daten mitzuschneiden, diese dann manipulieren muss und der Nutzer dann auf einer gefälschten Seite auch nochmal agieren müsste. Aber dennoch sollten solche sensiblen Infos natürlich generell verschlüsselt übertragen werden.

Curesec hat WhatsApp nach eigenen Angaben über die Lücke mehrfach informiert, erhielt aber bisher keine Antwort.

Danke Tom und Thomas W.!

Teilen

Hinterlasse deine Meinung