Angreifer können auf Windowssysteme mit Acronis Cyber Protect Cloud Agent zugreifen und sich unter anderem höhere Nutzerrechte verschaffen. Ein Sicherheitspatch steht zum Download zur Verfügung.

Sicherheitslücke

Wie aus einer Warnmeldung hervorgeht, ist der Ansatzpunkt eine Schwachstelle mit dem Bedrohungsgrad „hoch“ (CVE-205-9578). Offensichtlich läuft die Rechtevergabe für bestimmte Ressourcen nicht ganz sauber und ein Angreifer kann an dieser Stelle ansetzen.

Klappt eine Attacke, können Angreifer unter anderem Daten manipulieren und sich höhere Nutzerrechte verschaffen. Wie ein solcher Vorfall im Detail ablaufen könnte, ist bislang unklar. Zurzeit gibt es keine Hinweise auf laufende Attacken.

Die Schwachstelle hat ein Sicherheitsforscher über die Bug-Bounty-Plattform Hackerone gemeldet und dafür 250 US-Dollar bekommen.

Die Entwickler versichern, dass sie die Version C25.08 von Acronis Cyber Protect gegen die geschilderte Attacke gerüstet haben. Alle Ausgaben bis einschließlich Build 40734 sollen hingegen verwundbar sein.

Bereits im Juni dieses Jahres haben die Entwickler eine „kritische“ Schwachstelle in Acronis Cyber Protect ausgebessert.

(des)

Etwa seit Oktober 2023 bietet WhatsApp die Möglichkeit der Anmeldung mit der passwortlosen Lösung Passkeys an. Diese weitet die Meta-Tochter nun auf die Backup-Funktion für Chats aus. Zunächst können Nutzer der Beta-Version 2.25.24.15 und neuer für Android diese Funktion testen.

Nie wieder das Passwort vergessen

Die Backup-Funktion von WhatsApp besitzt seit langer Zeit die Möglichkeit der Absicherung über ein benutzerdefiniertes Passwort oder einen 64-stelligen Verschlüsselungscode. Bei dieser Methode mussten Nutzer sich jedoch das Passwort merken oder es an einem sicheren Ort aufbewahren. Wie WABeta-Info schreibt, hätten Nutzer den dauerhaften Zugriff auf ihre verschlüsselten Backups verloren, nachdem sie das Passwort vergessen hatten.

Mit der neuen Passkey-Option wird die Gefahr des Verlusts der Anmeldedaten erheblich reduziert, da Benutzer keine komplexen Passwörter mehr erstellen und sich merken müssen. Denn mit Passkeys erfolgt die Authentifizierung automatisch über die auf dem Gerät oder dem verknüpften Passwortmanager hinterlegten Schlüssel. Damit geht außerdem der Gerätewechsel einfacher vonstatten: Auf einem neuen Smartphone kann der verknüpfte Passwortmanager den Passkey automatisch bereitstellen.

Separate Passkeys

Zur Bestätigung der Identität können Benutzer einfach auf integrierte Verifizierungsmethoden wie Fingerabdruck-, Gesichtserkennung oder das App-Sperrsystem des Geräts zurückgreifen. Dadurch wird der Prozess der Wiederherstellung von Backups sowohl schneller als auch sicherer, während gleichzeitig das Risiko einer Sperrung aufgrund vergessener Anmeldedaten verringert wird.

WhatsApp nutzt zudem unterschiedliche Passkeys für die verschlüsselten Backups und für den Zugriff auf die App. Das heißt, dass WhatsApp mehrere Passkeys für verschiedene Funktionen generieren kann, sodass jede Sicherheitsebene unabhängig bleibt.

Um zu schauen, ob die Funktion bereits integriert ist, können Nutzer in den WhatsApp-Einstellungen unter Chat und Chat-Backup auf Ende-zu-Ende-Verschlüsselung-Backup tippen. Hier sollte ihnen die Backup-Sicherung über Passkeys angeboten werden. Falls nicht, dürfte es noch eine Weile dauern.

(afl)

Meta verteilt derzeit Updates für diverse WhatsApp-Clients, weil es Angreifern möglich war, ohne Zutun der Nutzer Code einzuschleusen. Die Sicherheitslücke im Messenger nutzt einen Fehler bei der Autorisierung bestimmter iPhones, iPads und macOS-Computer aus, wenn Nachrichten automatisch mit den Geräten synchronisiert werden sollen. Sie ist unter CVE-2025-55177 registriert und kann in Verbindung mit Lücken in den Betriebssystemen der Geräte ausgenutzt werden, um über eine URL eine Spyware zu installieren. Per Klick oder Tipp bestätigen müssen die Nutzer der Apple-Geräte dies nicht (Zero-Click-Angriff).

Die betroffenen Versionen WhatsApp for iOS Version 2.25.21.73 oder älter, WhatsApp Business for iOS Version 2.25.21.78 und WhatsApp for Mac version 2.25.21.78 oder älter sollten umgehend aktualisiert werden. In Verbindung mit der schon bekannten Sicherheitslücke CVE-2025-55177 (EUVD-2025-26214, CVSS 8.0, Risiko „hoch“)kann der Exploit ausgenutzt werden. Die Lücke in den Betriebssystemen betrifft die Bibliothek „Image I/O“ und ermöglicht Einschleusen von ausführbarem Code über manipulierte Bilder. Auch iOS, iPadOS und macOS sollte man daher umgehend auf den neuesten Stand bringen. Wie Meta mitteilt, könnte die Lücke bereits ausgenutzt worden sein.

Laut Donncha Ó Cearbhaill, Chef des Security Lab von Amnesty International, wurde die Lücke auch schon aktiv ausgenutzt. Einige Anwender hätten von WhatsApp Warnmeldungen erhalten, es gäbe Hinweise, dass ihnen eine bösartige Nachricht zugeschickt worden wäre. Dies schreibt der Aktivist auf der Plattform X. Man sei sich nicht sicher, ob das betreffende Gerät erfolgreich kompromittiert worden sei, man empfehle einen vollen Werksreset und künftig stets Betriebssysteme und die WhatsApp-Anwendung aktuell zu halten.

(rop)