News vom 21.09.2016

Fehler in Krypto-Messenger Signal gefunden

Ein Artikel von , veröffentlicht am 21.09.2016

Signal galt bisher als besonders sicher. Jetzt wurden in der Android-Variante des Instant Messengers Sicherheitsprobleme entdeckt. Deren Auswirkungen halten sich allerdings in Grenzen. Doch weitere Fehler sollen bereits gefunden sein.

Der Messenger „Signal“ funktioniert im Grunde genauso wie WhatsApp. Der Betreiber, das spendenfinanzierte Open-Source-Projekt „Open Whisper Systems“ nimmt aber die Privatsphäre der Nutzer besonders ernst. So werden alle Nachrichten verschlüsselt, und nur minimal Nutzerdaten gespeichert.

Als Open-Source-App ist der Programmcode für jeden frei zugänglich und nachvollziehbar. Ein deutscher und ein Schweizer Security-Experte – Jean-Philippe Aumasson und Markus Vervier – haben nun einige Programmierfehler in dem Code entdeckt.

Sicherheitslücke Nummer eins betrifft den Empfang von Anhängen, sogenannten Attachments. Wenn eine Nachricht mit einem Foto, Video oder dergleichen versendet wird, holt sich das Smartphone des Empfängers diesen Anhang von einem Server aus der Amazon-Cloud. Ein Fehler in der Überprüfung dieses Anhangs könnte dazu genutzt werden, die Sendung zu manipulieren, berichten die beiden in ihrem Blog.

Um diesen Fehler auszunutzen, müssen die Anhänge mindestens vier Gigabyte groß sein. Das erscheint zwar zunächst sehr groß, ließe sich jedoch auf rund vier Megabyte komprimieren und entspräche damit der typischen Größe von multimedialen Anhängen.

Damit diese Sicherheitslücke ausgenutzt werden kann, müssen jedoch noch weitere Voraussetzungen hinzukommen, wie gefälschte Zertifikate oder ein Einbruch bei den Amazon-Servern. Im Resultat also ein eher unwahrscheinliches Szenario.

Einen zweiten Fehler haben die beiden Sicherheitsexperten in der Telefonfunktion von Signal entdeckt. Seitdem der Hersteller Open Whisper Systems seine App Redphone in Signal integriert hat, können mit dem Messenger auch verschlüsselte Telefonate geführt werden. Der gefundene Fehler führt zum direkten Absturz der App. Ein Angreifer könnte Signal über eingeschleuste Datenpakete damit lediglich lahmlegen.

Open Whisper Systems hat die Lücken mit der Signal-Version 3.19.0 geschlossen; Nutzer sollten ein Update durchführen. Ernsthafte Probleme müssen sie laut den beiden Spezialisten zwar nicht befürchten, zumal nur die Android-Variante betroffen ist. Sie haben jedoch die Veröffentlichung weiterer Fehler angekündigt.

Der Fall zeigt erneut deutlich, warum das „Open Source“-Konzept maßgeblich zur Sicherheit beiträgt. Denn selbst Anwendungen, die mit besten Absichten und Expertise programmiert werden, können Fehler enthalten.

Hintergrundinformationen zu sicheren Messengern bietet der Artikel Verschlüsselt kommunizieren per App.

Weitere Artikel

Ratgeber 

Bluetooth: Praktische Technologie mit Tücken

Fast alle Smartphones und Tablets verfügen über Bluetooth, um Verbindungen mit Geräten in der näheren Umgebung aufzubauen. Vor allem durch unvorsichtige Nutzung kann es dabei Sicherheitsprobleme geben. Wir erklären, wie Bluetooth funktioniert und wo es dabei Risiken gibt.

Mehr
Firewalls und VPNs 

VPN: Mehr Privatsphäre beim Surfen

Provider, Behörden, Kriminelle – sie alle können theoretisch verfolgen, welche Seiten Sie im Internet aufrufen und welche Daten Sie versenden. Ein Virtual Private Network (VPN) verschleiert Ihre Verbindungen - am Computer und am Smartphone.

Mehr
Standort 

Anleitung: Standortermittlung auf Android an- und ausschalten

Es gibt Situationen, in denen Ihr Android-Handy seinen Aufenthaltsort nicht ermitteln sollte. Zum Beispiel, wenn Sie es vor einem Verkauf anonym einrichten wollen. Die Funktion können Sie im Handumdrehen deaktivieren und bei Bedarf wieder anschalten.

Mehr
Körper und Gesundheit 

Coronavirus und Handy-Überwachung: Risiken und Nebenwirkungen

Viele Länder nutzen im Kampf gegen die Corona-Epidemie Handydaten, um Infizierte zu überwachen und Kontaktpersonen zu ermitteln. Auch in Deutschland wird der Ruf nach solchen Methoden lauter. Zeit, sich die Vorreiter näher anzusehen – samt Risiken und Nebenwirkungen.

Mehr