WebAssembly bringt immer mehr Anwendungen ins Internet. Doch viele Web-Apps, die WebAssembly nutzen, haben Schwachstellen. Wir haben untersucht, welche Risiken für Nutzer*innen bestehen und entwickelten ein Analyse-Tool, um die Apps sicherer zu machen.

Neben HTML, CSS und JavaScript hat sich WebAssembly (Wasm) mittlerweile als „vierte Sprache“ des Web etabliert und wird von allen großen Browsern unterstützt. Dies ermöglicht es, Programme in Sprachen wie z.B. C, C++, Go oder Rust zu entwickeln und anschließend als WebAssembly-Modul ohne große Performance-Verluste im Browser laufen zu lassen. Diesen Vorteil nutzen inzwischen viele beliebte Web-Apps, darunter twitch.tv, Google Earth, Adobe Photoshop oder Zoom.

Allerdings birgt die Technologie Sicherheitsrisiken, wie unsere gemeinsame Studie mit der TU Braunschweig zeigt. Wir analysierten knapp 38.000 Domains im Web und stellten fest, dass bei mehr als 77 % dieser Domains Daten an die Apps übertragen werden, ohne die Quellen ausreichend zu prüfen.

Wir sehen in dieser Praxis ein großes Sicherheitsrisiko. Falls ein WebAssembly-Modul Fehler enthält, können Hacker diese Schwachstellen ausnutzen und über das Internet schädlichen Code in die Browser der Nutzer*innen einschleusen.  

Um dieses Risiko zu verringern, haben wir das Analyse-Tool Wemby entwickelt. Wemby erkennt Speicherfehler von WebAssembly-Modul im Browser. Dabei analysiert das Tool im Vergleich zu bisherigen Methoden viel mehr Code in deutlich weniger Zeit.

Mithilfe von Wemby entdeckten wir unter anderem eine Sicherheitslücke in Zoom, die durch manipulierte Videodaten ausgenutzt werden könnte. Die betroffenen Anbieter wurden informiert, damit sie geeignete Schutzmaßnahmen ergreifen können.

Im Juni 2025 werden die Forschenden die Ergebnisse ihrer Arbeit auf der Software-Engineering-Konferenz ISSTA in Trondheim (Norwegen) vorstellen.