Wer WhatsApp hackt, kann Millionen verdienen

Wer bislang unbekannte Sicherheitslücken in populären Geräten oder Software findet, kann damit sehr viel Geld verdienen. Auf dem Schwarzmarkt werden sogenannte Zero-Days teilweise um Millionen verkauft. 

Ein Artikel von TechCrunch zeigt nun auf, wie viel im Netz konkret für die Lücken bezahlt wird. Für einen Zero-Day, der es Angreifer*innen erlaubt, aus der Ferne in die WhatsApp-App von Fremden einzudringen und Nachrichten zu lesen, wurden 2021 demnach zwischen 1,7 und 8 Millionen Dollar bezahlt. “Die Preise sind hochgeschossen”, sagt ein Sicherheitsforscher, der anonym bleiben möchte, gegenüber TechCrunch.

➤ Mehr lesen: Neues WhatsApp-Feature ermöglicht schnelleres Antworten

Zero Click RCE

Konkret wurde etwa ein “Zero Click RCE” für WhatsApp wurde laut dem Bericht um 1,7 Millionen Dollar verkauft. RCE steht für remote code execution und erlaubt es Angreifer*innen Code - in diesem Fall innerhalb WhatsApp - auszuführen. Zero Click heißt, dass dafür keinerlei Interaktion des Angegriffenen notwendig ist.

Der Exploit soll ab Android 9 bis einschließlich 11 funktioniert haben, wie es heißt. Mit welchem Patch genau die Lücke geschlossen wurde, ist unklar. WhatsApp selbst wollte gegenüber TechCrunch kein Kommentar abgeben.

➤ Mehr lesen: Endlich da: So sieht WhatsApp für das iPad aus

Aufgrund seiner Popularität sind Lücken in WhatsApp für Kriminelle, aber auch staatliche Institutionen wie Geheimdienste äußerst wertvoll. Wenn Angreifer*innen direkt die Messaging-App kompromittieren können, ersparen sie sich, zuvor Zugriff auf das jeweilige Gerät erlangen zu müssen. Das macht die Zero Days für bestimmte Anwendungszwecke sehr attraktiv.