Android-Messenger: Signal-Sicherheitslücke erlaubt Belauschen von Nutzern
Ein Fehler in Signal ermöglicht es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss. Damit könnten Personen belauscht werden. Ein Update steht bereit.

Im verschlüsselten Messenger Signal unter Android wurde eine Sicherheitslücke entdeckt, mit der man Personen belauschen kann. Natalie Silvanovich von Googles Project Zero hat die Lücke entdeckt und an die Entwickler von Signal gemeldet. Nutzer von Signal sollten ein Update installieren.
Die Lücke basiert darauf, dass man einen Telefonanruf auslösen und gleich dafür sorgen kann, dass der Empfänger diesen annimmt, ohne dass dafür Nutzerinteraktion nötig ist. Möglich ist das durch eine Protokollnachricht, die in zwei Situationen verschickt wird: Wenn ein Nutzer einen Anruf annimmt oder wenn ein Nutzer vom anderen Gerät die Information erhält, dass dort ein Anruf angenommen wurde. Nach dieser Protokollnachricht wird eine Sprachverbindung aufgebaut.
Anruf kann vom Absender akzeptiert werden
Das Problem ist folgendes: Ein Anrufer kann zunächst einen Anruf abschicken und dann eine Nachricht schicken, die normalerweise signalisiert, dass ein Anruf angenommen wurde. Man könnte also sagen, dass der Anrufer beide Schritte - das Anrufen und das Annehmen des Anrufs - übernimmt. Die Programmlogik von Signal berücksichtigt diesen Fall nicht und akzeptiert das.
Ob bei einem auf diese Weise direkt angenommenen Anruf ein Anrufton zu hören ist, geht aus dem Fehlerbericht nicht hervor. Es ist aber in jedem Fall problematisch, da man das Anrufsignal möglicherweise überhört oder das Gerät lautlos geschaltet ist. Somit kann ein Angreifer das Telefon nutzen, um jemanden zu belauschen.
Das Problem ist zwar sowohl in der Android- als auch in der iOS-Version von Signal vorhanden, es lässt sich aber unter iOS nicht trivial ausnutzen, da dort vorher ein Fehler im Nutzerinterface ausgelöst wird. Silvanovich schreibt aber, dass sie nicht sicher ist, ob dieser Fehler in allen Fällen auftritt.
Nutzer von Signal unter Android sollten die App auf jeden Fall schnellstmöglich aktualisieren. Behoben ist der Fehler in der Version 4.47.7, die im Play-Store von Google bereitsteht.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Es läuft doch schon - Es fehlen nur noch Kleinigkeiten bis zur aktivierung
Die Frage ist bei jeder Software zu stellen. Signal hat in jedem Fall jetzt eine solche...
Oha, noch so ein Eksberde. was soll man da noch dazu sagen? einfach nur traurig. und...
Hey, das Update liegt auf github, das Installationsmedium für Apple schlechthin. und ne...