WhatsApp Sicherheitslücke !!!

Kein Grund zur Panik ... einfach die regulären Updates machen, und gut ist's.

Eigentlich egal, wenn die Geräte der WhatsApp-Nutzer gekapert werden. Die Nutzer von WhatsApp mißachten durch die Nutzung ja auch Rechte Unbeteiligter.

— geändert am 10.10.2018, 12:29:08

Na, drückt der Aluhut wieder?
Ich habe schon seit einiger Zeit nur noch Kontakte in meinem Smartphone, die selber WA nutzen.
Wessen Rechte missachte ich?

— geändert am 10.10.2018, 12:33:35

Wenn die Aluhutebene die ist, auf der du diskutieren willst, bist du bei mir an der falschen Adresse.

Aries

Eigentlich egal, wenn die Geräte der WhatsApp-Nutzer gekapert werden. Die Nutzer von WhatsApp mißachten durch die Nutzung ja auch Rechte Unbeteiligter.

Entschuldige bitte, ich kann halt nicht auf so hohem Niveau argumentieren wie Du ...

Schade!

Und damit sollte dann auch bitte gut sein. Zum Spielen bitte in den Sandkasten, danke

Es wurde medial bereits mehr als breit getreten. Was soll man dazu jetzt noch schreiben?

Die Lücke ist längst geschlossen und betraf auch nur Nutzer, die die Video-Anruf Funktion nutzen. Also wieder mal wie immer, viel Wind um nichts.

Viel Wind ums nichts?

Ja, die Sicherheitslücke steckt in der Video-Telefonie. Aber auch Leute, die diese selbst nicht aktiv nutzen, können angerufen werden. Nehmen sie das Gespräch an, sind sie angreifbar. Man darf davon ausgehen, dass der normale Nutzer so ein Gespräch annehmen wird und es gibt genug Leute, die zurückrufen. Auch dann wären sie angreifbar.

Eine Sicherheitslücke wurde gefunden und mit dem Risiko "kritisch" bewertet. Die Bewertung hat nicht irgendjemand aus der Luft gegriffen. Das erfolgt üblicherweise im Team. Anschließend wird die Lücke möglichst geschlossen und die Öffentlichkeit informiert. Manchmal lässt sich eine Lücke nicht ohne weiteres schließen, dann muss trotzdem die Öffentlichkeit informiert werden, damit alle so schnell wie möglich die fehlerbereinigte Version installieren. Alles also ein ganz normaler Vorgang.

Dies mit "viel WInd um nichts" zu bewerten, ist schon ziemlich anmaßend. Auch wenn ich bekanntermaßen WhatsApp nicht mag, in diesem Fall haben vollkommen korrekt gehandelt.

Aries, sorry, ich bleibe dabei, viel Wind um nichts, man sollte halt öfter mal die "App" "brain.apk" nutzen und nicht stumpf auf alles Geblinke und Gepiepe reagieren. Aber wer natürlich stumpf jeden Video-Anruf der auf WhatsApp rein kommt annimmt, ohne vorher aufs Display zu schauen, wer überhaupt anruft, ist potentiell gefährdet.

Vor Allem wird überall geschrieben, man soll dringend das neue Update machen...WELCHES UPDATE? Im Google Play Store gibt es überhaupt kein Update...

Die neueste Version soll die 2.18.302 sein, aber für das Handy meiner Tochter gibt es im Play Store aber nur die 2.18.293 vom 24.09.2018...und wenn ich im Browser ohne irgendwelche Anmeldung im Play Store nach schaue, wird mir der 08.10.2018 als letztes Update angezeigt...was läuft hier falsch?

Entweder die Updates werden ebenfalls in Wellen ausgerollt.
Oder aber du solltest mal einem Neustart des Gerätes machen. Manchmal werden erst dann wieder Updates angezeigt.
Alternativ kannst du das Gerät für die Beta-Version anmelden, hier gibt es jeden Tag eine neue Version. manchmal aber ist trotzdem ein Neustart erforderlich.

Andreas der 2te

Vor Allem wird überall geschrieben, man soll dringend das neue Update machen...WELCHES UPDATE? Im Google Play Store gibt es überhaupt kein Update...

Die neueste Version soll die 2.18.302 sein, aber für das Handy meiner Tochter gibt es im Play Store aber nur die 2.18.293 vom 24.09.2018...und wenn ich im Browser ohne irgendwelche Anmeldung im Play Store nach schaue, wird mir der 08.10.2018 als letztes Update angezeigt...was läuft hier falsch?

Du kannst unter:
https://accounts.google.com/ServiceLogin?sacu=1&continue=https%3A%2F%2Fplay.google.com%2Fapps%2Ftesting%2Fcom.whatsapp&followup=https%3A%2F%2Fplay.google.com%2Fapps%2Ftesting%2Fcom.whatsapp
Dich mit Deinem Google-Account anmelden und zum Beta-Tester werden.
Nach der Beta-Anmeldung im Playstore unter "Meine Apps und Spiele" im grünen Bereich nach links wischen. Dort erscheint der Punkt "Beta" Hier auf Whatsapp aktualisieren gehen. dann bekommst Du die Version 2.18.309 vom 10.10.2018. Die Updates sollten dann zukünftig automatisch kommen...

— geändert am 11.10.2018, 08:40:23

"man sollte halt öfter mal die "App" "brain.apk" nutzen"

Sorry, aber mit diesem überheblichen "ihr seid einfach alle nur zu blöd" ist niemandem geholfen. Lieber einmal zu viel Wind um eine gefährliche Lücke machen als einmal zuwenig. Jeder (außer vielleicht Herrn Pailliart) macht mal Fehler und sollte froh sein, wenn andere ihn davor warnen.

Da stimme ich dir zu, Tenten, aber wenn eine solch gravierende Sicherheitslücke vorhanden und bekannt ist, dann kann man ein Update nicht in Wellen ausrollen, sondern dann setze ich voraus, dass das Update umgehend für alle User verfügbar gemacht wird.

Und nicht jeder 0815-User möchte gerne Beta-Tester werden oder sich die APK direkt von WhatsApp runterladen und dafür vorher zulassen, dass "Drittanbieter-Apps" installiert werden dürfen. Dadurch kann man sich unter Umständen auch wieder Probleme einfangen.

@ Pippi: Handy wurde schon neu gestartet, es wird aber trotzdem keine neue Version angezeigt.

Jede Version ab dem 28.09.2018 soll für die Android-Version die Lücke geschlossen haben. Das ist angeblich ab Version 2.18.302 der Fall.

App-Updates kommen selten für alle Geräte zeitgleich. Das ist mir schon länger aufgefallen, wenn eines meiner Geräte ein App-Update meldet, ein anderes bei der umgehenden manuellen Suche aber nicht.

Google schweigt sich darüber aus.

Harald Pailliart

Aries, sorry, ich bleibe dabei, viel Wind um nichts, man sollte halt öfter mal die "App" "brain.apk" nutzen und nicht stumpf auf alles Geblinke und Gepiepe reagieren.

Harald, für die Nutzung der brain.apk bin ich auch. Aber nutze auch Du sie!

Wenn eine Sicherheitslücke gefunden wird, wird diese üblicherweise zunächst dem Entwickler mitgeteilt und nicht öffentlich gemacht. Damit soll das Risiko verringert werden, dass sie bis zum Schließen ausgenutzt wird.

Sobald die Lücke geschlossen ist oder ein wirksamer Workaround gefunden wurde, wird die Lücke bekannt gemacht und die Gegenmaßnahmen erklärt. Dazu gehört eben auch, die Nutzer zu informieren, aktuelle Updates sofort einzuspielen. Immerhin gibt es genug Nutzer, die selten oder nie Updates machen.

Für die Entwickler kann sich auf unterschiedlichen Gründen ein Zwang zur Veröffentlichung ergeben. Das wären beispielsweise, Datenschutzgesetze, Produkthaftung und sogar das Aktienrecht (eine Sicherheitslücke könnte zum Einbruch des Aktienwertes führen). Hinzu kommt, dass Konzerne Rechtssysteme auf der ganzen Welt beachten müssen.

Einem Nutzer stumpfe Nutzung nachzusagen, nur weil er einen Anruf annimmt, ist hochnäsig. Wozu gibt es Anrufe, wenn ich sie nicht annehmen soll? Dabei ist es irrelevant, ob IP-Telefonie über WhatsApp sinnvoll ist oder nicht. Abgesehen davon ist man nicht nur angreifbar, wenn man angerufen wird, sondern auch, wenn man anruft. Wer sagt mir, dass ein technisch interessierter Klassenkamerad meiner Nichte ihr Telefon nicht aus reinem Technikinteresse über die Lücke angreift und ihr dabei einen wirklich bösen Trojaner unterschiebt, über dessen Ausmaß er sich selbst gar nicht bewußt war?

Zur Klassifizierung von Sicherheitslücken:
Zunächst erfolgt diese üblicherweise numerisch. Daraus ergibt sich die Einteilung in "niedrig", "mittel", "hoch" und "kritisch" (oder ähnlich). Diese Klassifizierung soll die Dringlichkeit zum Handeln beim Endanwender deutlich machen. Bei "kritisch" bedeutet das eben umgehendes Handeln und wenn das nicht möglich ist, Verzicht auf die kritischen Funktionen/Apps.

Es ist in der Verantwortung jedes Nutzers, ob er einer kritischen Warnung nachkommt oder nicht. Es ist auch Sache jedes einzelnen, ob er eine zu dem Fachleuten abweichende Einschätzung des Risikos hat. Solange Du niemanden anderen schädigst, kannst Du das Update auch gerne aussetzen.

Es ist aber nicht OK, wenn die Einschätzung unbegründet an eine laienhafte Menge kommuniziert wird. Damit verleitest Du manchen dazu, das Update nicht zu machen und lässt ihn möglicherweise ins offene Messer laufen.

Zum Thema, "Andere nicht schädigen in Verbindung mit brain.apk"
Diese Diskussion ist hier ohnehin Fehl am Platz. Sie sollte viel früher einsetzen. Nämlich bei der Auswahl der Apps und bei den AGB. Dann würde so manche App gar nicht erst auf so vielen Smart Devices landen. Darunter auch WhatsApp, Facebook, oder BlueMail, TypeApp und Outlook. Das ist jedoch ein Thema für einen anderen Thread.

Tenten

"man sollte halt öfter mal die "App" "brain.apk" nutzen"

Sorry, aber mit diesem überheblichen "ihr seid einfach alle nur zu blöd" ist niemandem geholfen. Lieber einmal zu viel Wind um eine gefährliche Lücke machen als einmal zuwenig. Jeder (außer vielleicht Herrn Pailliart) macht mal Fehler und sollte froh sein, wenn andere ihn davor warnen.

Betroffene Hunde bellen?

@Harald: Ich kann dir nicht folgen.

Aries gibt hier sehr gute Hilfestellungen.
Und er ist sicherlich kein betroffener Hund wenn du seine Beiträge verfolgst.

@Pippi:
Ich meinte nicht Aries, sondern Tenten....

oh sorry 🙈

Harald Pailliart

@Pippi:
Ich meinte nicht Aries, sondern Tenten....

Ich nutze überhaupt kein WhatsApp.

Tenten

Harald Pailliart

@Pippi:
Ich meinte nicht Aries, sondern Tenten....

Ich nutze überhaupt kein WhatsApp.

Gute Entscheidung...
Es gibt jaaa wesentlich Bessere Messenger Welchen ich meine, muss ich jetzt ja nicht erwähnen.

Ich denke die 64bit Version ist später im Play Store angeboten worden, denn meine Frau bekam die 306 während bei mir im Play Store kein Update zur Verfügung (wie bei meinem Schwager mit seinem S7 übrigens auch) stand. Bei APKMirror waren zu dem Zeitpunkt aber beide Versionen verfügbar!