Eine der beliebtesten Funktionen von WhatsApp, das sich in Facebook befindet, ist Group Messaging. Dabei werden die durchgängigen verschlüsselten Chats der App in soziale Gruppen mit bis zu 256 Teilnehmern umgewandelt. Die jüngsten Stolpersteine bei der Sicherheit von Gruppenchats - einschließlich eines Fehlers, durch den ein Hacker die App vollständig zum Absturz bringen konnte - haben jedoch gezeigt, dass WhatsApp möglicherweise ein genaueres Auge auf diese kommunalen Hubs haben muss.
Diese spezielle Sicherheitsanfälligkeit, die von der Sicherheitsfirma Check Point im August gemeldet und im September behoben wurde, hätte dazu geführt, dass ein Hacker mit einer speziell gestalteten Nachricht ein Chaos im Gruppenchat verursacht hat. Um zu verhindern, dass die App bei jedem Öffnen des infizierten Threads fehlschlägt, müssen die Empfänger WhatsApp vollständig deinstallieren, neu installieren und den gefährdeten Gruppenchat von ihren Konten löschen. Opfer, die ihre WhatsApp-Daten nicht gesichert haben, verlieren während des Deinstallationsvorgangs alles, und selbst diejenigen mit Sicherungen geben den Inhalt des betroffenen Chats auf, da dieser entfernt werden muss, ohne ihn erneut zu öffnen, um den Absturzzyklus zu beenden.
Die Beibehaltung der End-to-End-Verschlüsselung für Gruppen-Messaging ist eine große Herausforderung.
"Die Leute könnten diese Meldungen erhalten und die Anwendung stürzt ab und sie würden nicht verstehen, was zu tun ist. Sie werden nicht wissen, wie sie die App deinstallieren und neu installieren und dann die Gruppe löschen müssen", sagt Oded Vanunu, Leiter der Produktverwundbarkeitsforschung bei Check Point. "Für uns ist es sehr wichtig, eine Anwendung zu verstehen, die einer der wichtigsten Kommunikationskanäle der Welt ist. Wir sehen bereits, dass schlechte Schauspieler WhatsApp verwenden, um Ziele anzugreifen. Es ist also nicht die Art von Dingen, die außerhalb der Norm liegen."
Zusätzlich zum Denial-of-Service und potenziellen Datenverlust weist Vanunu darauf hin, dass ein geschickter Angreifer den Fehler auch strategisch ausnutzen könnte, um WhatsApp zum Absturz zu bringen und dann SMS- oder E-Mail-Phishing-Nachrichten zu senden, wenn er weiß, dass die WhatsApp des Ziels wahrscheinlich nicht verfügbar ist. Ohne WhatsApp würden sich die Ziele mehr auf ihre anderen Kommunikationsplattformen konzentrieren. Und Phisher könnten sogar Nachrichten verfassen, die angeblich von WhatsApp stammen, oder Schritte zur Wiederherstellung von Daten versprechen, um Ziele zum Klicken auf einen böswilligen Link zu verleiten. WhatsApp sagt, dass es keine Anzeichen dafür gibt, dass jemand den Fehler tatsächlich ausgenutzt hat.
Die Beibehaltung der End-to-End-Verschlüsselung für Gruppen-Messaging ist eine große Herausforderung für die Sicherung von Chat-Plattformen. Je mehr Endpunkte es gibt, an denen Chat-Daten entschlüsselt werden müssen, und je mehr Teilnehmer eine App im Auge behalten muss, desto wahrscheinlicher ist es, dass Fehler auftreten. WhatsApp hat einige Schwachstellen im Gruppenchat. Frühere Check Point-Untersuchungen zur Sicherheit und zum Datenschutz von WhatsApp-Gruppennachrichten ergaben verschiedene Möglichkeiten, um Inhalte in Gruppennachrichten zu manipulieren oder alte Nachrichten so aussehen zu lassen, als wären sie von einem anderen Teilnehmer gesendet worden. WhatsApp hat einige dieser Probleme behoben, aber auch festgestellt, dass einige von ihnen in jeder Gruppenkommunikation vorkommen, wie z. B. ein E-Mail-Thread, der mit Antworten überflutet ist. Laut Check Point reagierte das Unternehmen sehr schnell auf die Behebung des Absturzfehlers beim Gruppenchat für iOS und Android.
