News vom 21.09.2016

Fehler in Krypto-Messenger Signal gefunden

Ein Artikel von , veröffentlicht am 21.09.2016

Signal galt bisher als besonders sicher. Jetzt wurden in der Android-Variante des Instant Messengers Sicherheitsprobleme entdeckt. Deren Auswirkungen halten sich allerdings in Grenzen. Doch weitere Fehler sollen bereits gefunden sein.

Der Messenger „Signal“ funktioniert im Grunde genauso wie WhatsApp. Der Betreiber, das spendenfinanzierte Open-Source-Projekt „Open Whisper Systems“ nimmt aber die Privatsphäre der Nutzer besonders ernst. So werden alle Nachrichten verschlüsselt, und nur minimal Nutzerdaten gespeichert.

Als Open-Source-App ist der Programmcode für jeden frei zugänglich und nachvollziehbar. Ein deutscher und ein Schweizer Security-Experte – Jean-Philippe Aumasson und Markus Vervier – haben nun einige Programmierfehler in dem Code entdeckt.

Sicherheitslücke Nummer eins betrifft den Empfang von Anhängen, sogenannten Attachments. Wenn eine Nachricht mit einem Foto, Video oder dergleichen versendet wird, holt sich das Smartphone des Empfängers diesen Anhang von einem Server aus der Amazon-Cloud. Ein Fehler in der Überprüfung dieses Anhangs könnte dazu genutzt werden, die Sendung zu manipulieren, berichten die beiden in ihrem Blog.

Um diesen Fehler auszunutzen, müssen die Anhänge mindestens vier Gigabyte groß sein. Das erscheint zwar zunächst sehr groß, ließe sich jedoch auf rund vier Megabyte komprimieren und entspräche damit der typischen Größe von multimedialen Anhängen.

Damit diese Sicherheitslücke ausgenutzt werden kann, müssen jedoch noch weitere Voraussetzungen hinzukommen, wie gefälschte Zertifikate oder ein Einbruch bei den Amazon-Servern. Im Resultat also ein eher unwahrscheinliches Szenario.

Einen zweiten Fehler haben die beiden Sicherheitsexperten in der Telefonfunktion von Signal entdeckt. Seitdem der Hersteller Open Whisper Systems seine App Redphone in Signal integriert hat, können mit dem Messenger auch verschlüsselte Telefonate geführt werden. Der gefundene Fehler führt zum direkten Absturz der App. Ein Angreifer könnte Signal über eingeschleuste Datenpakete damit lediglich lahmlegen.

Open Whisper Systems hat die Lücken mit der Signal-Version 3.19.0 geschlossen; Nutzer sollten ein Update durchführen. Ernsthafte Probleme müssen sie laut den beiden Spezialisten zwar nicht befürchten, zumal nur die Android-Variante betroffen ist. Sie haben jedoch die Veröffentlichung weiterer Fehler angekündigt.

Der Fall zeigt erneut deutlich, warum das „Open Source“-Konzept maßgeblich zur Sicherheit beiträgt. Denn selbst Anwendungen, die mit besten Absichten und Expertise programmiert werden, können Fehler enthalten.

Hintergrundinformationen zu sicheren Messengern bietet der Artikel Verschlüsselt kommunizieren per App.

Weitere Artikel

Ratgeber 

Android-Apps ersetzen: Cloud-Dienst

Auf den meisten Android-Geräten sind die kostenlosen Cloud-Dienste Google Drive oder Dropbox vorinstalliert. Wenn Sie dort Inhalte speichern, können Google und Dropbox theoretisch alles mitlesen. Wir empfehlen sichere Alternativen.

Mehr
YouTube-Video 

So schützen Sie Ihr Instagram-Konto vor fremden Zugriffen

Die Fotoplattform Instagram bietet neuerdings eine zusätzliche Sicherheits-App für die Zwei-Faktor-Authentifizierung an. Wer Ihre Instagram-Login-Daten geklaut hat, kann sich ohne diese App nicht in Ihrem Namen anmelden. Außerdem können Sie Ihre Privatsphäre schützen, indem Sie Instagrams Voreinstellungen ändern.

Ansehen
Schadprogramme 

Sicherheitslücke Stagefright

Mit Stagefright sind einige gravierende Sicherheitslücken im Android-Betriebssystem gemeint, die Ende Juni 2015 bekannt wurden. Theoretisch sind durch diese Lücken verschiedene Angriffe möglich. Für neuere Geräte sind Sicherheitsupdates angekündigt.

Mehr
YouTube-Video 

Notfallpass auf dem Handy – alle wichtigen Infos

Ob bei einem Unfall oder einem plötzlichen Kreislaufzusammenbruch - wenn Menschen gerettet werden müssen, ist der Notfallpass auf dem Smartphone eine wichtige Hilfe. Im Video erfahren Sie, wie Sie ihn nutzen können - und worauf es beim Eintragen der eigenen Daten ankommt.

Ansehen