Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
News vom 21.09.2016

Fehler in Krypto-Messenger Signal gefunden

Ein Artikel von Uwe Sievers, veröffentlicht am 21.09.2016

Signal galt bisher als besonders sicher. Jetzt wurden in der Android-Variante des Instant Messengers Sicherheitsprobleme entdeckt. Deren Auswirkungen halten sich allerdings in Grenzen. Doch weitere Fehler sollen bereits gefunden sein.

Der Messenger „Signal“ funktioniert im Grunde genauso wie WhatsApp. Der Betreiber, das spendenfinanzierte Open-Source-Projekt „Open Whisper Systems“ nimmt aber die Privatsphäre der Nutzer besonders ernst. So werden alle Nachrichten verschlüsselt, und nur minimal Nutzerdaten gespeichert.

Als Open-Source-App ist der Programmcode für jeden frei zugänglich und nachvollziehbar. Ein deutscher und ein Schweizer Security-Experte – Jean-Philippe Aumasson und Markus Vervier – haben nun einige Programmierfehler in dem Code entdeckt.

Sicherheitslücke Nummer eins betrifft den Empfang von Anhängen, sogenannten Attachments. Wenn eine Nachricht mit einem Foto, Video oder dergleichen versendet wird, holt sich das Smartphone des Empfängers diesen Anhang von einem Server aus der Amazon-Cloud. Ein Fehler in der Überprüfung dieses Anhangs könnte dazu genutzt werden, die Sendung zu manipulieren, berichten die beiden in ihrem Blog.

Um diesen Fehler auszunutzen, müssen die Anhänge mindestens vier Gigabyte groß sein. Das erscheint zwar zunächst sehr groß, ließe sich jedoch auf rund vier Megabyte komprimieren und entspräche damit der typischen Größe von multimedialen Anhängen.

Damit diese Sicherheitslücke ausgenutzt werden kann, müssen jedoch noch weitere Voraussetzungen hinzukommen, wie gefälschte Zertifikate oder ein Einbruch bei den Amazon-Servern. Im Resultat also ein eher unwahrscheinliches Szenario.

Einen zweiten Fehler haben die beiden Sicherheitsexperten in der Telefonfunktion von Signal entdeckt. Seitdem der Hersteller Open Whisper Systems seine App Redphone in Signal integriert hat, können mit dem Messenger auch verschlüsselte Telefonate geführt werden. Der gefundene Fehler führt zum direkten Absturz der App. Ein Angreifer könnte Signal über eingeschleuste Datenpakete damit lediglich lahmlegen.

Open Whisper Systems hat die Lücken mit der Signal-Version 3.19.0 geschlossen; Nutzer sollten ein Update durchführen. Ernsthafte Probleme müssen sie laut den beiden Spezialisten zwar nicht befürchten, zumal nur die Android-Variante betroffen ist. Sie haben jedoch die Veröffentlichung weiterer Fehler angekündigt.

Der Fall zeigt erneut deutlich, warum das „Open Source“-Konzept maßgeblich zur Sicherheit beiträgt. Denn selbst Anwendungen, die mit besten Absichten und Expertise programmiert werden, können Fehler enthalten.

Hintergrundinformationen zu sicheren Messengern bietet der Artikel Verschlüsselt kommunizieren per App.

Weitere Artikel

Ratgeber 

Touch ID und Co: Wie sicher sind Fingerabdruck-Sensoren?

Das Smartphone oder Tablet per Fingerabdruck zu entsperren, hört sich praktisch an. Doch es gibt Berichte darüber, dass diese Sensoren gehackt werden können. Seitdem sind viele Nutzer verunsichert. Was ist an den Warnungen dran und worauf muss man achten?

Mehr
Ratgeber 

Opt-out: Telefonnummer-Weitergabe bei WhatsApp widersprechen

Die aktuellen AGB von WhatsApp verbindet die Telefonnummern und Nutzungsdaten der WhatsApp-Nutzer mit Unternehmen, die über Facebook für Kunden direkt erreichbar sind. Wer seine Daten nicht teilen möchte, sollte der Weitergabe widersprechen.

Mehr
Ratgeber 

Google Smart Lock: Mehr als ein Passwort-Manager

Seit Version 5.0 bringt Android das Funktionspaket Smart Lock mit. Smart Lock ist ein leistungsfähiger Passwort-Manager und besitzt zusätzlich eine ausgeklügelte Entsperr-Funktion, die das ständige Eingeben von PIN oder Passwort überflüssig machen soll.

Mehr
Ratgeber 

Was Sie über Mail-Apps wissen sollten

Mail-Apps erlauben es, verschiedene E-Mail-Adressen in einer einzigen App zu verwalten. Das ist praktisch, jedoch werden dabei sehr persönliche Daten einem einzigen Anbieter anvertraut. Damit Sie nicht an die Falschen geraten, haben wir hier die wichtigsten Infos zusammengestellt.

Mehr