WhatsApp-Zahlungen manipulierbar

Da WhatsApp den Zahlungsvorgang bei Abo-Verlängerungen nicht konsequent über HTTPS abwickelt, können Angreifer dem zahlungswilligen WhatsApp-Nutzer Phishing-Formulare unterjubeln.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 57 Beiträge
Von

Die Bezahlfunktion von WhatsApp ist unzureichend geschützt, wie die Berliner Sicherheitsfirma Curesec bemerkt hat. Wer sein WhatsApp-Abo über die Messenger-App verlängert, der wird auf eine Webseite gelotst, auf der er die gewünschte Zahlungsart auswählen kann. Der Bezahlprozess setzt allerdings nicht konsequent auf verschlüsseltes HTTPS, sondern führt im ersten Schritt einen HTTP-Request aus. Diesen kann ein Angreifer als Man-in-the-Middle manipulieren, wodurch er der WhatsApp-Nutzer auf eine beliebige Webseite schicken kann.

Würde der Angreifer sein Opfer in spe etwa auf eine nachgebaute Version der Bezahlseite umleiten, könnte er Kreditkartendaten oder auch PayPal-Zugangsdaten abgreifen. Damit der Angreifer den HTTP-Request manipulieren kann, muss er sich im gleichen Netzwerk wie sein Opfer befinden. Schützen kann man sich daher, indem man die alljährliche Verlängerung des WhatsApp-Abos in einem vertrauenswürdigen Netz – oder noch besser über das Mobilfunknetz – abwickelt. (rei)