Hacker decken Sicherheitlücke in Chat-Buch-Software hinaus

Chatten ist hierzulande so etwas wie ein Volkssport, Messaging-Dienste erfreuen sich großer Beliebtheit. Doch Chats werden schnell unübersichtlich und oft auch irgendwann gelöscht. Wer sich einen erinnerungswürdigen Chat bewahren will, kann sich seinen Chat als Buch drucken lassen, mittlerweile gibt es eine ganze Reihe von Anbietern dafür. Darunter auch das Münchner Unternehmen Zapptales, bei dem man sich Chats aus sechs verschiedenen Messengern als Buch drucken lassen kann.

Damit das Unternehmen die Chats drucken kann, müssen die Nutzer ihre Chats bei Zapptales hochladen. Im Falle von WhatsApp-Chats empfiehlt die Firma ihren Kunden, dafür die eigene “Zapptales Computer Software” zu verwenden.

Zugangsdaten ermöglichen Zugriff auf sämtliche Chat-Dateien

Diese müssen die Kunden herunterladen und installieren. In dem Download-Ordner befanden sich jedoch von Oktober 2020 bis September 2021 zwei Konfigurationsdateien, die wiederum sensible Zugangsdaten enthielten, wie das IT-Sicherheitsaktivisten-Kollektiv Zerforschung herausgefunden hat.

Eine dieser Dateien enthielt Zugangsdaten zu einem Konto der Amazon Web Services (AWS), dem Cloud-Dienst von Amazon, auf dem Zapptales vier Wochen lang die Chat-Logs seiner Kunden speichert. Darunter nicht nur die von WhatsApp, sondern auch die von anderen Messengern wie Telegram, Threema, Instagram oder dem Facebook Messenger.

Mit dem Schlüssel konnten die Hacker von Zerforschung auf mehrere Terabyte Daten zugreifen, etwa Sprachnachrichten, Bilder und Videos, aber auch Textdateien mit Chat-Verläufen. Das schreiben die IT-Sicherheitsexperten in ihrem Bericht “Sicherheitslücken bei Chat-Buch-Dienst ‘Zapptales'”, der BR24 vorliegt.

Hacker-Kollektiv meldete Sicherheitslücke an Datenschutzbehörde

In gedruckten Chat-Büchern sind dabei auch QR-Codes enthalten. Wenn man diese scannt, kann man damit auch Sprachnachrichten und Videos abspielen. Wenn also jemand an ein fremdes Chat-Buch gelangt, kann er die dort verlinkten Sprachnachrichten und Videos aufrufen. Deswegen forderte das Hacker-Kollektiv in seinem Bericht Zapptales dazu auf, “sämtliche Verweise auf betroffene Daten zu entfernen, insbesondere müssten die QR-Codes invalidiert werden”.

Zerforschung selbst nutzte die Sicherheitslücke aber nicht aus und berichtete auch nicht öffentlich darüber, sondern schaltete in einem “Coordinated Vulernability Disclosure” Verfahren am 21. September 2021 die zuständigen Behörden ein: Zum einen das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund), eine Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computersystemen.

“Die Schwachstelle hätte eine große Zahl von Nutzern betreffen können und insbesondere durch den Zweck der Anwendung private und intime Details der Öffentlichkeit bekannt werden lassen können.” CERT-Bund auf BR24-Anfrage

Zum anderen meldeten die Hacker die Zapptales-Sicherheitslücke an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), das für private Wirtschaftsunternehmen wie Zapptales aus München zuständig ist. Das BayLDA bestätigt auf BR24-Anfrage “diese Information erhalten, validiert und eine unverzügliche Behebung der Sicherheitslücke durch Zapptales erwirkt” zu haben – ohne allerdings auf Details einzugehen.

Zapptales schloss Sicherheitslücke umgehend

Am 22. September erfuhr Zapptales von der Lücke, löschte am selben Tag den Useraccount, der Zugang zur Cloud hatte, und veröffentlichte am 23. September eine neue Version der Zapptales Desktop Software, in der die beiden Konfigurationsdateien nicht mehr enthalten waren.

Nach Angaben von Zapptales hatte niemand außer den Mitgliedern von Zerforschung auf die Chat-Dateien zugegriffen. Die QR-Codes wurden nicht invalidiert, also ungültig gemacht, wie es Zerforschung vorgeschlagen hatte, “da ausgeschlossen werden kann, dass Unbefugte Zugang zu den QR Codes erhalten haben”, schreibt Zapptales-Geschäftsführerin Anna Kimmerle-Hürlimann auf BR24-Anfrage.

Unternehmen dankt den Sicherheitsforschern

Zapptales berichtete am 4. Oktober auf dem eigenen Blog über die Schließung der Sicherheitslücke. Sowohl dort als auch im Gespräch mit BR24 bedankte sich Geschäftsführerin Anna Kimmerle-Hürlimann bei Zerforschung für den Hinweis: “Ich bin heilfroh bin, dass die Sicherheitsforscher diese Lücke gefunden haben und dankbar dafür, dass wir sie deswegen schließen konnten, denn Sicherheit ist für uns essenziell.”

Zapptales wurde 2015 in München gegründet und wird von Kimmerle-Hürlimann und Daniel Vicen Renner geleitet. Daneben hat die Firma drei weitere Mitarbeiter und arbeitet mit “sorgfältig ausgewählten” externen Dienstleistern zusammen. Zapptales druckt nach eigenen Angaben in diesem Jahr voraussichtlich etwa 50.000 Chat-Bücher.

Hacker-Kollektiv findet immer wieder Sicherheitslücken

Zerforschung bezeichnet sich auf seiner Website als “Kollektiv aus Menschen, die Spaß daran haben, Technik auseinander zu nehmen um zu verstehen, wie diese funktioniert.” In der Praxis bedeutet das, dass sie dabei häufig auf Sicherheitslücken stoßen, die sie dann im Rahmen des oben beschriebenen “Coordinated vulnerability disclosure”-Verfahrens melden. Im November entdeckten sie eine große Sicherheitslücke bei Berliner Anbietern von Corona-Schnelltests, die zur Folge hatte, dass sich die Daten hunderttausende Getesteter abrufen ließen.

Das Problem beim “Coordinated Vulnerability Disclosure”-Verfahren: Die Behörden werden erst im Nachhinein tätig, also dann, wenn jemand – wie Zerforschung – eine Sicherheitslücke meldet. Eine Prüfstelle für sichere Software sind sie nicht.

Vor diesem Hintergrund sollte man sich immer gut überlegen, wem man seine persönlichen oder sogar intimen Daten anvertraut. Nicht nur bei Chats.