WhatsApp Web: Erweiterung deckt Manipulationen auf
WhatsApp Web soll mit einer neuen Browser-Erweiterung namens Code Verify sicherer werden. Das für Google Chrome, Mozilla Firefox und Microsoft Edge verfügbare Tool ist ab sofort in den jeweiligen Bezugsquellen der Internetzugangsprogramme erhältlich.
Dieses Werkzeug überprüft den JavaScript-Code der Web-Anwendung und gibt anschließend, je nachdem ob er manipuliert wurde, einen entwarnenden oder warnenden Status an den Nutzer aus. Für die Verifizierung holte WhatsApp Inc. das US-amerikanische Online-Sicherheitsunternehmen Cloudflare an Bord. Dank verfügbarem Quellcode können andere Entwickler mitarbeiten.
Meta lässt User Code von WhatsApp Web durchleuchten
Statusmeldungen von Code Verify
Bild: WhatsApp Inc.
Wer WhatsApp nutzen will, aber nicht installieren kann oder möchte, greift auf die Browser-Fassung WhatsApp Web zurück. Um dieser Option einen besseren Schutz der Privatsphäre zu bieten, hat das Entwicklerstudio gemeinsam mit Cloudflar das Add-on Code Verify realisiert. Die Sicherheitsfirma ist im Besitz einer kryptografischen Hash-Quelle des JavaScript-Codes von WhatsApp Web. Die Erweiterung vergleicht automatisch den Code des Anwenders mit jenem, der von WhatsApp verifiziert und auf Cloudflare herausgegeben wurde.
Ein Ampelsystem signalisiert anschließend den Status der Web-App. Grün bedeutet, dass es keinerlei Probleme gibt, und die Verifizierung erfolgreich war. Gelb bedeutet, dass es Fehler bei der Validierung durch eine andere Browser-Erweiterung gab. In diesem Fall empfiehlt Meta, andere Erweiterungen nacheinander zu deaktivieren, bis die Meldung verschwindet. Rot steht schließlich für einen bestätigten Validierungsfehler. Der Code von WhatsApp Web stimmt nicht mit dem überein, der an andere Nutzer übermittelt wurde.
Wie geht man bei erkanntem Risiko vor?
Validierungsfehler bei Code Verify
Bild: Andre Reinhardt
Wir haben Code Verify in Google Chrome installiert und einen Probelauf durchgeführt. Kaum öffneten wir WhatsApp Web, gab die Erweiterung eine rote Warnmeldung aus. Die Web-App stimmt bei uns also nicht mit der verifizierten Version überein. Eine etwas beunruhigende Erkenntnis. WhatsApp gibt für solch einen Fall Hilfestellungen. Es könnte auch bei diesem Vorfall einen Konflikt mit einem anderen Add-on geben. Der User muss die Erweiterungen überprüfen. Ansonsten wird ein Besuch der Entwickler-Webseite angeraten, um zu erörtern, ob es derzeit ein Problem gibt.
Führen diese Maßnahme zu keinem Erfolg, besteht ein potenzielles Sicherheitsrisiko, und der Nutzer soll sich von WhatsApp Web abmelden und die Version für Mobilgeräte verwenden. Personen mit Kenntnissen in JavaScript haben außerdem die Möglichkeit, den Quellcode von WhatsApp Web herunterzuladen und dem Problem selbst auf den Grund zu gehen.
Auf dem Handy erhält WhatsApp bald Umfragen.