Durch eine Sicherheitslücke bei dem Messenger-Dienst WhatsApp, der weltweit von ungef?hr 1, 5 Milliarden Menschen genutzt wird, wurde bei einigen Nutzern Spyware installiert. Am vergangenen Freitag gab es ein Update, das die Lücke schlie?en sollte. Prof. Dr. Eric Bodden, Experte für IT-Sicherheit und sichere Softwareentwicklung an der Universit?t Paderborn, ordnet in einem Statement Hintergründe und Ursachen ein.
Was ist passiert?
Facebook empfiehlt derzeit, Nutzern seiner Messenger-Applikation WhatsApp sowohl die App als auch Ihr Android oder iOS-Betriebssystem zu aktualisieren. Die Aktualisierung der App dient der Behebung einer schwerwiegenden Sicherheitslücke, die es Angreifern erm?glicht, auf dem Handy unter anderem Schadcode zu installieren.
Wie wurde die Schwachstelle entdeckt?
Bekannt wurde die Lücke durch einen tats?chlich erfolgten Angriff auf einen Menschenrechtsanwalt, der wohl eben diese Lücke ausnutzt. Wer diesen Angriff durchgeführt hat, ist unklar, jedoch soll die Lücke ausgenutzt worden sein, um auf dem Mobiltelefon des Anwalts eine ?berwachungssoftware zu installieren. Dieser Versuch fiel auf, und somit auch die Sicherheitslücke. Die ?berwachungssoftware stammt laut New York Times von der israelischen Firma NSO, die sich auf solche Technologien spezialisiert hat.
Wie schwerwiegend ist die Schwachstelle?
Bisher sind keine weiteren Angriffe au?er dem zuvor genannten bekannt. Angreifer k?nnen jedoch durch die Schwachstelle zun?chst die WhatsApp-App übernehmen, also zu beliebigen Zwecken die umfangreichen Berechtigungen ausnutzen, die WhatsApp selbst hat, und so beispielsweise auf Kontaktdaten, Nachrichten und sogar auch das Mikrofon und die Kamera zugreifen. Da Facebook jedoch empfiehlt, auch das Betriebssystem zu aktualisieren, steht zu befürchten, dass die NSO-Spyware nach ihrer Installation in Android und iOS noch weitere zuvor unbekannte Sicherheitslücken in diesen Betriebssystemen ausnutzt, um noch weitreichendere Berechtigungen zu erlangen.
Wie kommt es, dass immer wieder solche schwerwiegenden Schwachstellen bekannt werden?
Im bestehenden Fall war die Lücke im Telefonieteil der App beheimatet. Dieser war in den Programmiersprachen C/C++ geschrieben. Dies bietet den Vorteil, dass der Programmcode sowohl auf Android als auch auf iOS l?uft, und zudem sehr effizient. Jedoch bieten C/C++ so gut wie keine Schutzfunktionen gegen sicherheitskritische Programmierfehler. Modernere Programmiersprachen oder automatisierte Codeanalysewerkzeuge helfen, solche Fehler und Schwachstellen zu vermeiden, kamen aber offenbar nicht hinreichend zum Einsatz.
Aber wie kann ein so kleiner Fehler eine solche Auswirkung haben?
Die Schwachstelle ist exemplarisch für ein im Softwareentwurf weit verbreitetes Problem: Aktuelle Software hat momentan meist nur einen einzigen Schutzwall. Ist dieser fehleranf?llig, dann bricht die Sicherheit wie ein Kartenhaus in sich zusammen. Die Telefoniefunktion von WhatsApp ben?tigt beispielsweise keinen Zugriff auf Nachrichten oder das Adressbuch, hat ihn aber trotzdem, weil in Android und iOS Berechtigungen immer für die App als Ganzes vergeben werden. K?nnte man für einzelne Funktionen individuelle Berechtigungen vergeben, h?tte dies verhindert, dass die Lücke in einer solch breiten Art und Weise ausnutzbar gewesen w?re.
Prof. Dr. Eric Bodden leitet den Lehrstuhl für Softwaretechnik am Heinz Nixdorf Institut der Universit?t Paderborn und den Bereich Softwaretechnik und IT-Sicherheit am Fraunhofer IEM. In dieser T?tigkeit ber?t er regelm??ig gro?e wie kleine Unternehmen bezüglich des Entwurfs sicherer Software.