Durch eine Sicherheitslücke bei dem Messenger-Dienst WhatsApp, der weltweit von ungefähr 1, 5 Milliarden Menschen genutzt wird, wurde bei einigen Nutzern Spyware installiert. Am vergangenen Freitag gab es ein Update, das die Lücke schließen sollte. Prof. Dr. Eric Bodden, Experte für IT-Sicherheit und sichere Softwareentwicklung an der Universität Paderborn, ordnet in einem Statement Hintergründe und Ursachen ein.
Was ist passiert?
Facebook empfiehlt derzeit, Nutzern seiner Messenger-Applikation WhatsApp sowohl die App als auch Ihr Android oder iOS-Betriebssystem zu aktualisieren. Die Aktualisierung der App dient der Behebung einer schwerwiegenden Sicherheitslücke, die es Angreifern ermöglicht, auf dem Handy unter anderem Schadcode zu installieren.
Wie wurde die Schwachstelle entdeckt?
Bekannt wurde die Lücke durch einen tatsächlich erfolgten Angriff auf einen Menschenrechtsanwalt, der wohl eben diese Lücke ausnutzt. Wer diesen Angriff durchgeführt hat, ist unklar, jedoch soll die Lücke ausgenutzt worden sein, um auf dem Mobiltelefon des Anwalts eine Überwachungssoftware zu installieren. Dieser Versuch fiel auf, und somit auch die Sicherheitslücke. Die Überwachungssoftware stammt laut New York Times von der israelischen Firma NSO, die sich auf solche Technologien spezialisiert hat.
Wie schwerwiegend ist die Schwachstelle?
Bisher sind keine weiteren Angriffe außer dem zuvor genannten bekannt. Angreifer können jedoch durch die Schwachstelle zunächst die WhatsApp-App übernehmen, also zu beliebigen Zwecken die umfangreichen Berechtigungen ausnutzen, die WhatsApp selbst hat, und so beispielsweise auf Kontaktdaten, Nachrichten und sogar auch das Mikrofon und die Kamera zugreifen. Da Facebook jedoch empfiehlt, auch das Betriebssystem zu aktualisieren, steht zu befürchten, dass die NSO-Spyware nach ihrer Installation in Android und iOS noch weitere zuvor unbekannte Sicherheitslücken in diesen Betriebssystemen ausnutzt, um noch weitreichendere Berechtigungen zu erlangen.
Wie kommt es, dass immer wieder solche schwerwiegenden Schwachstellen bekannt werden?
Im bestehenden Fall war die Lücke im Telefonieteil der App beheimatet. Dieser war in den Programmiersprachen C/C++ geschrieben. Dies bietet den Vorteil, dass der Programmcode sowohl auf Android als auch auf iOS läuft, und zudem sehr effizient. Jedoch bieten C/C++ so gut wie keine Schutzfunktionen gegen sicherheitskritische Programmierfehler. Modernere Programmiersprachen oder automatisierte Codeanalysewerkzeuge helfen, solche Fehler und Schwachstellen zu vermeiden, kamen aber offenbar nicht hinreichend zum Einsatz.
Aber wie kann ein so kleiner Fehler eine solche Auswirkung haben?
Die Schwachstelle ist exemplarisch für ein im Softwareentwurf weit verbreitetes Problem: Aktuelle Software hat momentan meist nur einen einzigen Schutzwall. Ist dieser fehleranfällig, dann bricht die Sicherheit wie ein Kartenhaus in sich zusammen. Die Telefoniefunktion von WhatsApp benötigt beispielsweise keinen Zugriff auf Nachrichten oder das Adressbuch, hat ihn aber trotzdem, weil in Android und iOS Berechtigungen immer für die App als Ganzes vergeben werden. Könnte man für einzelne Funktionen individuelle Berechtigungen vergeben, hätte dies verhindert, dass die Lücke in einer solch breiten Art und Weise ausnutzbar gewesen wäre.
Prof. Dr. Eric Bodden leitet den Lehrstuhl für Softwaretechnik am Heinz Nixdorf Institut der Universität Paderborn und den Bereich Softwaretechnik und IT-Sicherheit am Fraunhofer IEM. In dieser Tätigkeit berät er regelmäßig große wie kleine Unternehmen bezüglich des Entwurfs sicherer Software.