News vom 21.09.2016

Fehler in Krypto-Messenger Signal gefunden

Ein Artikel von , veröffentlicht am 21.09.2016

Signal galt bisher als besonders sicher. Jetzt wurden in der Android-Variante des Instant Messengers Sicherheitsprobleme entdeckt. Deren Auswirkungen halten sich allerdings in Grenzen. Doch weitere Fehler sollen bereits gefunden sein.

Der Messenger „Signal“ funktioniert im Grunde genauso wie WhatsApp. Der Betreiber, das spendenfinanzierte Open-Source-Projekt „Open Whisper Systems“ nimmt aber die Privatsphäre der Nutzer besonders ernst. So werden alle Nachrichten verschlüsselt, und nur minimal Nutzerdaten gespeichert.

Als Open-Source-App ist der Programmcode für jeden frei zugänglich und nachvollziehbar. Ein deutscher und ein Schweizer Security-Experte – Jean-Philippe Aumasson und Markus Vervier – haben nun einige Programmierfehler in dem Code entdeckt.

Sicherheitslücke Nummer eins betrifft den Empfang von Anhängen, sogenannten Attachments. Wenn eine Nachricht mit einem Foto, Video oder dergleichen versendet wird, holt sich das Smartphone des Empfängers diesen Anhang von einem Server aus der Amazon-Cloud. Ein Fehler in der Überprüfung dieses Anhangs könnte dazu genutzt werden, die Sendung zu manipulieren, berichten die beiden in ihrem Blog.

Um diesen Fehler auszunutzen, müssen die Anhänge mindestens vier Gigabyte groß sein. Das erscheint zwar zunächst sehr groß, ließe sich jedoch auf rund vier Megabyte komprimieren und entspräche damit der typischen Größe von multimedialen Anhängen.

Damit diese Sicherheitslücke ausgenutzt werden kann, müssen jedoch noch weitere Voraussetzungen hinzukommen, wie gefälschte Zertifikate oder ein Einbruch bei den Amazon-Servern. Im Resultat also ein eher unwahrscheinliches Szenario.

Einen zweiten Fehler haben die beiden Sicherheitsexperten in der Telefonfunktion von Signal entdeckt. Seitdem der Hersteller Open Whisper Systems seine App Redphone in Signal integriert hat, können mit dem Messenger auch verschlüsselte Telefonate geführt werden. Der gefundene Fehler führt zum direkten Absturz der App. Ein Angreifer könnte Signal über eingeschleuste Datenpakete damit lediglich lahmlegen.

Open Whisper Systems hat die Lücken mit der Signal-Version 3.19.0 geschlossen; Nutzer sollten ein Update durchführen. Ernsthafte Probleme müssen sie laut den beiden Spezialisten zwar nicht befürchten, zumal nur die Android-Variante betroffen ist. Sie haben jedoch die Veröffentlichung weiterer Fehler angekündigt.

Der Fall zeigt erneut deutlich, warum das „Open Source“-Konzept maßgeblich zur Sicherheit beiträgt. Denn selbst Anwendungen, die mit besten Absichten und Expertise programmiert werden, können Fehler enthalten.

Hintergrundinformationen zu sicheren Messengern bietet der Artikel Verschlüsselt kommunizieren per App.

Weitere Artikel

Ratgeber 

So löschen Sie Ihre Standortdaten bei Google

Google hat neue Funktionen angekündigt, mit denen NutzerInnen die beim IT-Konzern gespeicherten eigenen Daten automatisch löschen lassen können. Bis es soweit ist, muss man diesen Schritt noch von Hand vornehmen. Wie Sie die Löschoption für die Standortdaten finden, zeigen wir hier in einfachen Schritten.

Mehr
Ratgeber 

Android-Apps ersetzen: Cloud-Dienst

Auf den meisten Android-Geräten sind die kostenlosen Cloud-Dienste Google Drive oder Dropbox vorinstalliert. Wenn Sie dort Inhalte speichern, können Google und Dropbox theoretisch alles mitlesen. Wir empfehlen sichere Alternativen.

Mehr
Ratgeber 

Pokémon GO: Tipps zu Sicherheit und Datenschutz

Die App Pokémon GO ist schwer in Mode: Mehr als zehn Millionen mal wurde das Spiel bereits installiert. Doch die App ist auch ein geschickter Datensammler. Und: personenbezogene Daten gehen auch an Unternehmen, deren Namen die Nutzer nie erfahren.

Mehr
Ratgeber 

Messenger-Apps: 8 WhatsApp-Alternativen

Messenger sind für viele Menschen die wichtigsten Apps überhaupt. Wir geben einen Überblick über die beliebtesten Ende-zu-Ende-verschlüsstelten WhatsApp-Alternativen – und ordnen ihre Vor- und Nachteile ein.

Mehr