Die Bezahlfunktion von WhatsApp ist unzureichend geschützt, wie die Berliner Sicherheitsfirma Curesec bemerkt hat. Wer sein WhatsApp-Abo über die Messenger-App verlängert, der wird auf eine Webseite gelotst, auf der er die gewünschte Zahlungsart auswählen kann.
Der Bezahlprozess setzt allerdings nicht konsequent auf verschlüsseltes HTTPS, sondern führt im ersten Schritt einen HTTP-Request aus. Diesen kann ein Angreifer als Man-in-the-Middle manipulieren, wodurch er der WhatsApp-Nutzer auf eine beliebige Webseite schicken kann.
Quelle: heise online
Hier können Sie die gesamte Meldung lesen.