Sicherheitslücke beim Mitteilungsdienst Whatsapp
(dpa) Der Mitteilungsdienst Whatsapp hat eine Sicherheitslücke geschlossen, durch die Überwachungs-Software auf Smartphones installiert werden konnte. Die Geräte konnten via Whatsapp-Anruf infiziert werden, da die Schwachstelle in der Umsetzung der Internet-Telefonie lag.
Hinter der Angriffs-Technologie werde die israelische Firma NSO vermutet, die Spionage-Werkzeuge an Regierungen verkauft, berichteten unter anderem die „Financial Times“und das Blog „TechCrunch“. Whatsapp geht davon aus, dass Ziel der Angriffe lediglich einige ausgewählte Nutzer gewesen seien.
Die „Financial Times“berichtete unter Berufung auf Forscher des Citizen Lab an der Universität von Toronto außerdem, dass ein Menschenrechts-Anwalt in Großbritannien am Wochenende Ziel einer Cyber-Attacke über die Schwachstelle gewesen sei. Der Angriff sei allerdings verhindert worden, da Whatsapp zu diesem Zeitpunkt bereits Gegenmaßnahmen ergriffen habe, hieß es weiter.
Der zum Facebook-Konzern gehörende Chatdienst erfuhr Anfang Mai von dem Problem und schloss die Lücke innerhalb weniger Tage. Betroffen waren Smartphones mit den Betriebssystemen Android, iOS sowie Microsofts Windows Phone und Samsungs Tizen, wie aus einem in der Nacht zum Dienstag veröffentlichten technischen Hinweis hervorgeht. Whatsapp schaltete auch die US-Regierungsbehörden für Ermittlungen ein.
Das bekannteste Produkt der Firma NSO ist eine Software mit dem Namen Pegasus, das nach bisherigen Informationen Mikrofon und Kamera eines Telefons aktivieren, Standort-Daten sammeln sowie E-Mails und Kurzmitteilungen durchsuchen kann. NSO betonte in einer Stellungnahme an die „Financial Times“, das Unternehmen setze seine Werkzeuge nicht selbst ein, das machten nur Geheimdienste und Sicherheitsbehörden.
Ein nicht namentlich genannter Spionagesoftware-Händler sagte laut Financial Times, die jüngste Attacke auf Whatsapp habe auch funktionieren können, wenn der Nutzer den eingehenden Anruf nicht angenommen habe. Zudem sei oftmals der Eintrag zum Anruf in der Anrufliste der App nachträglich verschwunden.
Whatsapp hat rund 1,5 Milliarden Nutzer weltweit und stellt als einen Vorteil des Dienstes die Ende-zu-Ende-Verschlüsselung heraus, bei der Daten grundsätzlich nur für Absender und Empfänger lesbar sind.
Nach eigenen Angaben schloss Whatsapp die Lücke auf den Servern am Freitag. Die sichere Version der App wurde am Montag veröffentlicht. Das Unternehmen empfiehlt allen Nutzern, die aktuelle Version zu installieren und das Betriebssystem auf aktuellem Stand zu halten.