• IT-Karriere:
  • Services:

Android-Messenger: Signal-Sicherheitslücke erlaubt Belauschen von Nutzern

Ein Fehler in Signal ermöglicht es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss. Damit könnten Personen belauscht werden. Ein Update steht bereit.

Artikel veröffentlicht am ,
Eine Signal-Lücke ermöglicht es, dafür zu sorgen, dass ein Anruf direkt angenommen wird.
Eine Signal-Lücke ermöglicht es, dafür zu sorgen, dass ein Anruf direkt angenommen wird. (Bild: Leif Jørgensen, Wikimedia Commons/CC-BY-SA 4.0)

Im verschlüsselten Messenger Signal unter Android wurde eine Sicherheitslücke entdeckt, mit der man Personen belauschen kann. Natalie Silvanovich von Googles Project Zero hat die Lücke entdeckt und an die Entwickler von Signal gemeldet. Nutzer von Signal sollten ein Update installieren.

Stellenmarkt
  1. Hessischer Rundfunk Anstalt des öffentlichen Rechts, Frankfurt am Main
  2. Hays AG, Hamburg

Die Lücke basiert darauf, dass man einen Telefonanruf auslösen und gleich dafür sorgen kann, dass der Empfänger diesen annimmt, ohne dass dafür Nutzerinteraktion nötig ist. Möglich ist das durch eine Protokollnachricht, die in zwei Situationen verschickt wird: Wenn ein Nutzer einen Anruf annimmt oder wenn ein Nutzer vom anderen Gerät die Information erhält, dass dort ein Anruf angenommen wurde. Nach dieser Protokollnachricht wird eine Sprachverbindung aufgebaut.

Anruf kann vom Absender akzeptiert werden

Das Problem ist folgendes: Ein Anrufer kann zunächst einen Anruf abschicken und dann eine Nachricht schicken, die normalerweise signalisiert, dass ein Anruf angenommen wurde. Man könnte also sagen, dass der Anrufer beide Schritte - das Anrufen und das Annehmen des Anrufs - übernimmt. Die Programmlogik von Signal berücksichtigt diesen Fall nicht und akzeptiert das.

Ob bei einem auf diese Weise direkt angenommenen Anruf ein Anrufton zu hören ist, geht aus dem Fehlerbericht nicht hervor. Es ist aber in jedem Fall problematisch, da man das Anrufsignal möglicherweise überhört oder das Gerät lautlos geschaltet ist. Somit kann ein Angreifer das Telefon nutzen, um jemanden zu belauschen.

Das Problem ist zwar sowohl in der Android- als auch in der iOS-Version von Signal vorhanden, es lässt sich aber unter iOS nicht trivial ausnutzen, da dort vorher ein Fehler im Nutzerinterface ausgelöst wird. Silvanovich schreibt aber, dass sie nicht sicher ist, ob dieser Fehler in allen Fällen auftritt.

Nutzer von Signal unter Android sollten die App auf jeden Fall schnellstmöglich aktualisieren. Behoben ist der Fehler in der Version 4.47.7, die im Play-Store von Google bereitsteht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 9,99€
  2. 9,99€
  3. (-10%) 8,99€
  4. gratis (bis 7. April, 18 Uhr)

011010111101 07. Okt 2019

Es läuft doch schon - Es fehlen nur noch Kleinigkeiten bis zur aktivierung

oleid 06. Okt 2019

Die Frage ist bei jeder Software zu stellen. Signal hat in jedem Fall jetzt eine solche...

KlugKacka 05. Okt 2019

Oha, noch so ein Eksberde. was soll man da noch dazu sagen? einfach nur traurig. und...

KlugKacka 05. Okt 2019

Hey, das Update liegt auf github, das Installationsmedium für Apple schlechthin. und ne...

TetrisTyp 05. Okt 2019

Für alle, die jetzt Panik haben: Wenn ihr automatische Updates eingeschaltet habt, ist...


Folgen Sie uns
       


Tesla baut Gigafactory in Brandenburg - Bericht

Wald weg, Wasser weg, Tesla da? Wir haben Grünheide besucht.

Tesla baut Gigafactory in Brandenburg - Bericht Video aufrufen
    •  /