Meta weiß Bescheid über das Problem, unternimmt jedoch nichts dagegen. Die Rede ist von einem Sicherheitsproblem, welches WhatsApp für Windows darstellt. Dank dieser können nämlich einfach unterschiedliche Skripte ausgeführt werden, ohne dass der Nutzer zuvor eine Warnung erhält. Wie die Sicherheitslücke agiert und was Meta dazu sagt, wird nachfolgend zusammengefasst.
Sicherheitslücke öffnet Skripte ohne Zustimmung des Nutzers
Für gewöhnlich wird innerhalb von Windows vor dem Öffnen eines Scripts eine Sicherheitswarnung für den Nutzer angezeigt. Dank WhatsApp erlangen allerdings einige Python- und PHP-Skripte die Fähigkeit, einfach geöffnet zu werden, ohne dass der Nutzer vorher gefragt wird. Verantwortlich hierfür ist eine Sicherheitslücke.
Unterdessen sorgt die Sicherheitslücke jedoch auch dafür, dass andere bestimmte Dateitypen von der App geblockt werden.
Das Schlimmste: Dem Unternehmen Meta, die WhatsApp besitzen, sind die Probleme bekannt, man unternimmt jedoch nichts dagegen. Der Grund hierfür ist sehr perfide. Meta habe den Sachverhalt überprüft, könne jedoch keinerlei Sicherheitslücke feststellen.
Gefunden wurde das Problem übrigens von Saumayajeet, einem Cybersicherheitsforscher, erläutert wurde es schließlich von Bleeping Computer. Er probierte es mit unterschiedlichen Dateitypen, diese über WhatsApp zu öffnen und erhielt bei einigen von ihnen keinerlei Warnung.
Diese Dateitypen öffnet WhatsApp ohne Warnung
In seinem Test fand Das heraus, dass es vor allem dreierlei Dateitypen gibt, die das System ohne jegliche Warnung durchlässt. Mit dazu gehören Python-Dateien mit der Endung .PYZ, Windows-Ereignisprotokolldateien mit der Dateiendung .EVTX, sowie Pinstaller-Programme, welche die Dateiendung .PYZW im Namen tragen.
Ist auf dem Computer Python installiert, werden derartige Dateien ohne jegliche Rückfrage geöffnet und ausgeführt. Python-Nutzer sollten also ganz besonders vorsichtig im Umgang mit WhatsApp sein.
Deswegen wehrt sich Meta gegen die Schließung der Lücke
Bekannt ist das Problem bereits seit dem 3. Juni 2024, wo Saumayajeet es sogar dem Unternehmen Meta gemeldet hat. Die entsprechende Antwort erhielt er am 15. Juli, also etwa anderthalb Monate später.
In der Antwort beschrieb Meta, dass die Lücke bekannt sei, man aber nicht die Absicht habe, diese zu schließen. Denn man sehe in diesem Bezug keinerlei Schwierigkeiten oder mögliche Risiken. Malware hätte die unterschiedlichsten Formen und sei auch als herunterladbare Datei im Internet vertreten. Der Konzern erläuterte, dass man Nutzern stets empfehle, keinerlei Dateien anzuklicken, von denen man nicht wüsste, was sie beinhalten. Nur so könne man dem Risiko mit hoher Sicherheit entgehen.
Dabei sei es unerheblich, welche App dabei der Auslöser sei. Es spiele also keine Rolle, dass die Sicherheitslücke von WhatsApp selbst verursacht würde.
Generell ist Meta immer bestrebt danach, seine Nachrichten-App zu verbessern. Zuletzt wurde dies in Form von neuen Stickern, einer Like-Funktion für den eigenen Status oder die Passkey-Funktion verdeutlicht. Dass sich der Konzern nun jedoch gegen die Schließung der Sicherheitslücke wehrt, ist schon bedenklich.
Quellen: T3N, WhatsApp, Meta, Heise Online, Chip, Bleeping Computer
