WhatsApp-Virus: “Finde heraus, mit wem Deine Freunde chatten…”, echt oder Hoax?

Letzte Aktualisierung am 16. Januar 2018

In allen namhaften Medien findet sich derzeit diese Meldung und es wird von einem unglaublich gefährlichen Virus berichtet, doch lässt mich die oberflächliche Berichterstattung etwas zweifeln. Wer die Meldung noch nicht gelesen hat, sei das Szenario kurz erläutert: Eine entsprechende Message, dass man nun herausfinden könne, wer mit wem chattet, soll man an Freunde teilen. Geht man diesem Wunsch nach und erreicht 10 geteilte Freunde, meldet sich das Programm mit der Aufforderung, dringend das Sicherheits-Update zu installieren. In den Meldungen heißt es, dass die Handys nach der Installation unbrauchbar und nur noch vibrieren würden. Aber ob es um Android, iOS oder BlackBerry geht, wird nicht erwähnt.

Grundsätzlich ist es ja schön, wenn sich die Warnungen schneller verbreiten, als die Gefahr selbst. Aber die übereifrige Verbreitung führt auch immer wieder zu Flüchtigkeitsfehlern. Auch die großen Radiosender helfen schnell mit, die Meldung an ihre Hörer auszuliefern und erreichen somit eine massive Anzahl an Menschen auf einen Schlag. Doch mit gewisser Kenntnis lässt mich an dieser Meldung trotzdem zweifeln, immerhin sind die Berichterstatter nur selten Foren, die als professionelle Technik-Seiten bekannt sind. Von denen liest man nämlich bislang erstaunlich wenig dazu.

Um welche Smartphones geht es? So hält der Markt dutzende Modelle mit noch dazu unterschiedlichsten Firmwares von zahlreichen Herstellern bereit. Dabei gleichen sich die Apple-Geräte noch am Meisten, bei Android sieht das hingegen anders aus. Modelle mit Stock-Android, wie die Nexus-Reihe, oder die Smartphones von Motorola, Samsung, LG, Sony und Huawei, alle haben ihren eigenen Systemkern und sperren bewusst die Geräte vor dem Fremdzugriff mehr oder weniger gut. Immerhin ist dem Anwender nicht ohne Weiteres gestattet, das Betriebssystem zu tauschen oder Zugriff auf das Systemlaufwerk zu erhalten. Führt man ein so genanntes Rooting durch, lassen sich diese Sperren aufheben und dann gilt dies natürlich nicht mehr. Denn wenn die Systemdateien ungeschützt und veränderbar sind, kann solch ein kleines Programm tatsächlich Schäden im Kern des Smartphones anrichten. Das ist in diesem Fall vom Anwender auch so gewollt und nicht umsonst wird immer wieder vor dem Rooten gewarnt bzw. erlischt die Herstellergarantie.

Natürlich ist es über die administrative Freigabe möglich, dass Apps zumindest scheinbar die Kontrolle übernehmen. Ein Launcher kann beispielsweise verhindern, dass man ihn verlässt, dies ist auch bei speziellen Programmen nützlich, wie bei Mobile Accessibility als barrierefreie Oberfläche für sehbehinderte und blinde Menschen. Könnte man diese einfach verlassen, was im Übrigen auch über eine Abfrage klappt, wäre das wiederum nicht im Sinne des Anwenders. So wäre es denkbar, dass sich eine als Launcher tarnende App zum Standard machen kann und dem Nutzer auferlegt, einen Geldbetrag zu bezahlen oder ähnliches, wir kennen das vom bekannten BKA-Trojaner unter Windows. Den wieder loszuwerden, ist nicht einfach, hier bliebe das Zurücksetzen des Smartphones als unkomplizierte Lösung übrig. Bei Apple hingegen lassen sich keine Launcher installieren, somit wäre dieser Befall nicht denkbar. Wenn allerdings bei Android eine App installiert wird oder sich als Standard festsetzen möchte, wird der Benutzer gefragt und hat hier quasi die Chance, das Problem zu erkennen.

Prinzipiell ist es Apps bei Android nicht möglich, auf Gerätefunktionen ohne explizite Freigabe zuzugreifen. Tückisch ist das trotzdem, weil nach der globalen Freigabe die App den gewährten Zugriff ohne erneute Rückfrage erhält. Das stimmt allerdings nicht ganz, denn seit Android 6.0 wird der Benutzer, vergleichbar mit Apple, bei jedem Zugriff explizit gefragt. Auch manche Hersteller, wie Lenovo, setzen Software ein, welche auch nachträglich den Zugriff auch unter älteren Android-Versionen entziehen kann. So zeigt das berühmte Taschenlampen-Beispiel, wie eine App mehr Berechtigungen einfordert, als zum Betrieb eigentlich nötig wäre oder diese sogar bei einem Update unbemerkt einfordert, um nachträglich Schadcode zur Überwachung des Nutzers einzuschleusen. Früher hatte Google den Ruf, hierauf nicht sonderlich zu achten und so tauchten immer wieder schadhafte Apps im Play Store auf. Heute kann das sicher auch noch passieren, aber die Überwachungsroutinen von Google sind erheblich besser geworden, auch wenn natürlich diese Möglichkeit nicht auszuschließen ist. In obigem Fall geht es ja auch nicht um eine eigenständige App, sondern wohl nur um einen ausführbaren Code, der die WhatsApp-Software als Wirt missbraucht.

Dass das gelingen kann, halte ich zwar einerseits für wahrscheinlich, kann mir andererseits aber nicht vorstellen, dass das Smartphone unbrauchbar werden soll. Denkbar wäre, dass man sich beispielsweise auf die verbreiteten Galaxy-Modelle von Samsung spezialisiert haben könnte und eine Schwachstelle ausnutzt, aber dies wäre dann eben nur bei diesem Modell und sicher auch nur bei bestimmten Firmware-Versionen möglich. Da jeder Hersteller eine andere Basis liefert, müsste dieser Virus schon so gestaltet sein, dass er auf jedem Gerät getestet worden wäre. Dass sich jemand ohne wirtschaftliches Interesse diesen Aufwand macht, kann ich mir nicht vorstellen. Ein funktionierendes Smartphone, das heimlich Daten zurückliefert, wäre da wesentlich lukrativer. Mit einem Hard-Reset durch Drücken der Lautstärketasten beim Einschalten lässt sich auf Bootloader-Ebene der Werkszustand wiederherstellen, so dass der Programmspeicher formatiert wird. Da der Systemspeicher geschützt ist, kann auch kein Programm hier etwas ohne Root verändern. Das lässt sich auch ganz einfach nachweisen, immerhin finden sich im Play Store eine Menge Apps, deren schöne Funktionen nur mit Root-Rechten nutzbar sind, wie AirPlay-Clients oder Dateimanager mit Freigabefunktionen auf die Systemdateien. Wer sich im Netz nach Root-Anleitungen für sein Gerät umsieht merkt schnell, dass dies so einfach eben nicht ist. Da sich weltweit eine Menge Nutzer genau damit auseinandersetzen, wäre ansonsten längst ein Weg gefunden worden.

Natürlich würde ich niemandem dazu raten, die Probe aufs Exempel zu machen und bei Erhalt dieser Message sofort aktiv zu werden in der Hoffnung, es würde nichts passieren. Ich würde dies auch nicht tun, mein Smartphone ist mir dafür zu teuer. Aber es würde mich nicht wundern, wenn sich entweder diese Meldung in einigen Tagen in Luft auflöst, oder es irgendwann heraus käme, dass es sich um einen verspäteten Aprilscherz handelt.

Sei der Erste, der das kommentiert

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.