WhatsApp: Riskanter Dienst für Datenexfiltration

September 2, 2022

Von Guermellou Mohammed - Architekt für Cloud-Sicherheit, Skyhigh Security

Heutzutage nutzen wir viele legitime persönliche Cloud-Kommunikationsdienste, wie z.B. WhatsApp, sowohl für berufliche als auch für private Zwecke. Manchmal können diese legitimen Cloud-Dienste jedoch missbraucht werden und zu einer Gefährdung der Unternehmensdaten führen. In diesem Blog werden wir die Probleme mit persönlichen Webanwendungen erörtern, die die Proxy-Technologie umgehen, um Daten zu exfiltrieren und Malware einzuschleusen, und wie Skyhighs Security Service Edge (SSE) -Portfolio mit Remote Browser Isolation (RBI) die Angriffsfläche reduzieren und die Datenexposition begrenzen kann.

Heutzutage sind Kommunikationsplattformen unverzichtbar. Diese Plattformen werden genutzt, um mit Familien und Kollegen in Verbindung zu bleiben und neue Freunde zu finden. Ihre Nutzung wurde durch COVID-19 und den neuen modernen Arbeitsplatz beschleunigt, an dem wir oft außerhalb der Büroräume arbeiten, wo wir uns mit Teamkollegen und Freunden treffen können. Da wir ausschließlich von zu Hause oder von anderen entfernten Orten aus arbeiten, sehen wir uns seltener, und daher werden Kommunikationstechnologien wie WhatsApp, Signal und Telegram sowohl für private als auch für berufliche Zwecke genutzt.

Neue Risiken am modernen Arbeitsplatz

WhatsApp ist eine weit verbreitete mobile Anwendung für die Kommunikation. Die Anwendung an sich stellt kein Sicherheitsrisiko für Unternehmen dar, da der Benutzer sein persönliches Gerät für den Zugriff auf den Dienst verwendet. Aber was ist, wenn wir unternehmensverwaltete und persönliche Geräte miteinander verbinden, z.B. wenn wir die Webversion von WhatsApp von einem verwalteten Gerät aus nutzen? Diese Nutzung würde als Risiko für das Unternehmensgerät betrachtet werden. Werfen wir einen genaueren Blick darauf, wie der WhatsApp-Service funktioniert und wo das Risiko liegt.

Wenn ein Benutzer auf whatsapp.com zugreift, wird er aufgefordert, sein mobiles Gerät mit dem Webportal zu koppeln, was dazu führt, dass der Webdienst die Unterhaltungen über den lokalen Browser führt. Technisch gesehen baut der Browser auf dem lokalen Rechner eine sichere Kommunikation mit dem WhatsApp-Webdienst auf. Diese Kommunikation ist eine bidirektionale Nachricht, die als Websocket bezeichnet wird. Die Proxy-Technologie hat die Aufgabe, den Webverkehr zu sichern, indem sie die HTTP-Kommunikation prüft, aber sie kann den Inhalt der Web-Socket-Kommunikation nicht prüfen, wie in Abbildung 1 dargestellt.

Sobald die WhatsApp-Webanwendung auf einem Unternehmensgerät installiert ist, kann ein Benutzer sensible Unternehmensdaten hochladen und exfiltrieren. Dies macht die Durchsetzung der DLP-Richtlinie des Cloud-Proxys unmöglich, da die Daten verschlüsselt sind und nicht überprüft werden können. Wie Sie in Abbildung 2 sehen können, umgehen die Daten die Cloud-Proxy-Kontrolle.

In dem Demovideo "Data Exfiltrated Through WhatsApp" versucht ein Benutzer, ein vertrauliches Dokument mit Kreditkarteninformationen über seine persönliche E-Mail weiterzugeben. Aufgrund der Cloud Proxy DLP-Richtlinie sind die in der Datei enthaltenen Informationen jedoch zu sensibel, um in ein persönliches Postfach hochgeladen zu werden, und werden daher blockiert. Um diese Einschränkung zu umgehen, versucht der Benutzer dann, den Inhalt der Datei direkt im Browser zu kopieren und einzufügen. Wie zuvor wird die DLP-Richtlinie des Cloud-Proxys ausgelöst und der Kopierversuch wird erneut blockiert. In einem letzten Versuch verwendet der Benutzer WhatsApp Web und koppelt sein Gerät. Diesmal kann er die Datei hochladen, ohne dass der Cloud Web Proxy DLP den Inhalt überprüft.

Bewältigung der Herausforderungen

Das Verständnis dieses Risikos stellt Administratoren vor ein Dilemma. Sie müssen entscheiden, ob sie den Nutzern den Zugang zu diesen Kommunikationsdiensten erlauben, während sie von zu Hause aus arbeiten, oder ob sie WhatsApp sperren, um sich gegen dieses Risiko abzusichern und gleichzeitig die Arbeitsfähigkeit des Nutzers zu beeinträchtigen. Die ideale Lösung besteht darin, dem Benutzer die Nutzung dieses Dienstes (oder anderer) zu ermöglichen und gleichzeitig die Unternehmensdaten zu schützen. Daher bieten Isolationstechnologien dem Administrator jederzeit das erforderliche Maß an Sicherheit, während die Benutzer gleichzeitig weniger Einschränkungen beim Zugriff auf Webdienste haben.

Isolationstechnologien verhindern, dass Website-Inhalte auf dem lokalen Browser des Benutzers ausgeführt werden, indem sie an einen sicheren entfernten Ort verschoben werden. Anschließend wird im Browser des lokalen Rechners nur ein Abbild des Inhalts der Ziel-Website angezeigt. Keiner der potenziell gefährdeten Inhalte der Website wird auf dem lokalen Rechner ausgeführt, wodurch die Anfälligkeit des Browsers und das Risiko des Cookie-Hijacking automatisch reduziert werden. Laut der Studie Innovation Insight for Remote Browser Isolation von Gartner (Abonnement erforderlich) können Unternehmen, die Isolationstechnologien einsetzen, die Angriffsfläche um 70 Prozent reduzieren. Das Diagramm in Abbildung 3 zeigt die Skyhigh Security Remote Browser Isolation (RBI)-Technologie und wie sie sich zwischen den lokalen Browser und den WhatsApp-Service schiebt.

Unser WhatsApp Secured with RBI-Demovideo zeigt ein Beispiel für einen Benutzer, der versucht, auf den WhatsApp-Webdienst zuzugreifen. WhatsApp Web wird innerhalb einer isolierten Cloud-Umgebung auf Skyhigh Security Cloud geöffnet und nur das Bild der Unterhaltungen wird an den lokalen Browser gesendet. Zwischen der isolierten Cloud-Umgebung und dem mit RBI gesicherten WhatsApp-Service wird ein Websocket eingerichtet, über den der Administrator alle Aktivitäten kontrollieren kann, die von der isolierten Sitzung aus durchgeführt werden.

Wichtigste Erkenntnisse

Die Isolationstechnologie verschafft Web-Proxys mehr Freiheit bei der Anwendung von Aktionen, anstatt sie nur zuzulassen oder zu blockieren. Es ist wie in der Automobilindustrie, wo die Erfindung der Bremsen eine sichere Erhöhung der Geschwindigkeit eines Autos ermöglichte. Da die Bremsen ein Auto davor bewahren können, zu schnell zu fahren und die Kontrolle zu verlieren, haben die Ingenieure leistungsstärkere Motoren entwickelt, die höhere Geschwindigkeiten erreichen können, weil sie sich darauf verlassen können, dass diese Geschwindigkeiten sicherer kontrolliert werden können.

In ähnlicher Weise öffnet die Isolationstechnologie die Tür zur Web-Proxy-Kontrolle, indem sie die gesamte Ausführung vom lokalen Rechner auf einen sicheren, isolierten Browser verlagert. Auf diese Weise müssen Administratoren weniger umfangreiche Ausnahmelisten pflegen und der Benutzer hat mehr Freiheit, wenn er von zu Hause aus arbeitet. Dieser Ansatz unterstützt auch die Prinzipien der Zero Trust Security Architecture, da wir weder der Zielsite noch den darin enthaltenen Inhalten trauen, sondern die Ausführung aller potenziellen Risiken vom Unternehmensrechner auf einen sicheren und entfernten Browser verlagern.

Nützliche Links

• Web-Sicherheitsprodukte
• Was ist Browser-Isolation?
• Secure Web Gateway Datenblatt