News vom 21.09.2016

Fehler in Krypto-Messenger Signal gefunden

Ein Artikel von , veröffentlicht am 21.09.2016

Signal galt bisher als besonders sicher. Jetzt wurden in der Android-Variante des Instant Messengers Sicherheitsprobleme entdeckt. Deren Auswirkungen halten sich allerdings in Grenzen. Doch weitere Fehler sollen bereits gefunden sein.

Der Messenger „Signal“ funktioniert im Grunde genauso wie WhatsApp. Der Betreiber, das spendenfinanzierte Open-Source-Projekt „Open Whisper Systems“ nimmt aber die Privatsphäre der Nutzer besonders ernst. So werden alle Nachrichten verschlüsselt, und nur minimal Nutzerdaten gespeichert.

Als Open-Source-App ist der Programmcode für jeden frei zugänglich und nachvollziehbar. Ein deutscher und ein Schweizer Security-Experte – Jean-Philippe Aumasson und Markus Vervier – haben nun einige Programmierfehler in dem Code entdeckt.

Sicherheitslücke Nummer eins betrifft den Empfang von Anhängen, sogenannten Attachments. Wenn eine Nachricht mit einem Foto, Video oder dergleichen versendet wird, holt sich das Smartphone des Empfängers diesen Anhang von einem Server aus der Amazon-Cloud. Ein Fehler in der Überprüfung dieses Anhangs könnte dazu genutzt werden, die Sendung zu manipulieren, berichten die beiden in ihrem Blog.

Um diesen Fehler auszunutzen, müssen die Anhänge mindestens vier Gigabyte groß sein. Das erscheint zwar zunächst sehr groß, ließe sich jedoch auf rund vier Megabyte komprimieren und entspräche damit der typischen Größe von multimedialen Anhängen.

Damit diese Sicherheitslücke ausgenutzt werden kann, müssen jedoch noch weitere Voraussetzungen hinzukommen, wie gefälschte Zertifikate oder ein Einbruch bei den Amazon-Servern. Im Resultat also ein eher unwahrscheinliches Szenario.

Einen zweiten Fehler haben die beiden Sicherheitsexperten in der Telefonfunktion von Signal entdeckt. Seitdem der Hersteller Open Whisper Systems seine App Redphone in Signal integriert hat, können mit dem Messenger auch verschlüsselte Telefonate geführt werden. Der gefundene Fehler führt zum direkten Absturz der App. Ein Angreifer könnte Signal über eingeschleuste Datenpakete damit lediglich lahmlegen.

Open Whisper Systems hat die Lücken mit der Signal-Version 3.19.0 geschlossen; Nutzer sollten ein Update durchführen. Ernsthafte Probleme müssen sie laut den beiden Spezialisten zwar nicht befürchten, zumal nur die Android-Variante betroffen ist. Sie haben jedoch die Veröffentlichung weiterer Fehler angekündigt.

Der Fall zeigt erneut deutlich, warum das „Open Source“-Konzept maßgeblich zur Sicherheit beiträgt. Denn selbst Anwendungen, die mit besten Absichten und Expertise programmiert werden, können Fehler enthalten.

Hintergrundinformationen zu sicheren Messengern bietet der Artikel Verschlüsselt kommunizieren per App.

Weitere Artikel

Ratgeber 

Online-Banking mit Smartphone und Tablet

Das eigene Bankkonto von unterwegs aus verwalten, Rechnungen bezahlen, Überweisungen prüfen? Das geht schon längst - mit dem Smartphone oder Tablet. Doch wie sicher ist der Bankbesuch per Handy? Wir erklären wo die größten Risiken lauern und wie Sie diese in den Griff bekommen.

Mehr
Ratgeber 

Falsche Systemmeldungen als Trick erkennen

Wenn der Akku fast leer, der Speicher voll oder ein Update da ist, schickt das Mobilgerät eine Benachrichtigung. Kriminelle nutzen das aus, indem sie gefälschte Systemmeldungen auf Mobilgeräten platzieren. Solche Betrugsversuche sind zum Glück leicht zu erkennen.

Mehr
Ratgeber 

Das Recycling-Smartphone ist möglich. Warum gibt es noch keins?

In unseren alten Geräten schlummert ein Schatz aus wertvollen Rohstoffen. Woran es liegt, dass wir immer noch zu wenig recyceln.

Mehr
Ratgeber 

Smartphones: Brauche ich einen Virenscanner?

Schlagzeilen zu Trojanern und anderen Schadprogrammen, die Handys befallen, machen regelmäßig die Runde. Sollte man einen Virenscanner installieren oder reichen die hauseigenen Schutzfunktionen von Apple und Google? Ein Überblick.

Mehr