• IT-Karriere:
  • Services:

Android-Messenger: Signal-Sicherheitslücke erlaubt Belauschen von Nutzern

Ein Fehler in Signal ermöglicht es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss. Damit könnten Personen belauscht werden. Ein Update steht bereit.

Artikel veröffentlicht am ,
Eine Signal-Lücke ermöglicht es, dafür zu sorgen, dass ein Anruf direkt angenommen wird.
Eine Signal-Lücke ermöglicht es, dafür zu sorgen, dass ein Anruf direkt angenommen wird. (Bild: Leif Jørgensen, Wikimedia Commons/CC-BY-SA 4.0)

Im verschlüsselten Messenger Signal unter Android wurde eine Sicherheitslücke entdeckt, mit der man Personen belauschen kann. Natalie Silvanovich von Googles Project Zero hat die Lücke entdeckt und an die Entwickler von Signal gemeldet. Nutzer von Signal sollten ein Update installieren.

Stellenmarkt
  1. Hessischer Rundfunk Anstalt des öffentlichen Rechts, Frankfurt am Main
  2. Hays AG, Hamburg

Die Lücke basiert darauf, dass man einen Telefonanruf auslösen und gleich dafür sorgen kann, dass der Empfänger diesen annimmt, ohne dass dafür Nutzerinteraktion nötig ist. Möglich ist das durch eine Protokollnachricht, die in zwei Situationen verschickt wird: Wenn ein Nutzer einen Anruf annimmt oder wenn ein Nutzer vom anderen Gerät die Information erhält, dass dort ein Anruf angenommen wurde. Nach dieser Protokollnachricht wird eine Sprachverbindung aufgebaut.

Anruf kann vom Absender akzeptiert werden

Das Problem ist folgendes: Ein Anrufer kann zunächst einen Anruf abschicken und dann eine Nachricht schicken, die normalerweise signalisiert, dass ein Anruf angenommen wurde. Man könnte also sagen, dass der Anrufer beide Schritte - das Anrufen und das Annehmen des Anrufs - übernimmt. Die Programmlogik von Signal berücksichtigt diesen Fall nicht und akzeptiert das.

Ob bei einem auf diese Weise direkt angenommenen Anruf ein Anrufton zu hören ist, geht aus dem Fehlerbericht nicht hervor. Es ist aber in jedem Fall problematisch, da man das Anrufsignal möglicherweise überhört oder das Gerät lautlos geschaltet ist. Somit kann ein Angreifer das Telefon nutzen, um jemanden zu belauschen.

Das Problem ist zwar sowohl in der Android- als auch in der iOS-Version von Signal vorhanden, es lässt sich aber unter iOS nicht trivial ausnutzen, da dort vorher ein Fehler im Nutzerinterface ausgelöst wird. Silvanovich schreibt aber, dass sie nicht sicher ist, ob dieser Fehler in allen Fällen auftritt.

Nutzer von Signal unter Android sollten die App auf jeden Fall schnellstmöglich aktualisieren. Behoben ist der Fehler in der Version 4.47.7, die im Play-Store von Google bereitsteht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Coronavirus und Umwelt
    Der Mensch macht Pause, der Planet atmet auf
  2. Digitalisierung in der Coronafalle
    Warum freiwilliges Handy-Tracking nicht funktioniert
  3. Valorant angespielt
    Riot Games nimmt Counter-Strike ins Visier
  4. Browser
    Sicherheitslücke in Firefox wird bereits angegriffen
  5. P40 Pro im Kameratest
    Die beste Smartphone-Kamera, die wohl kaum einer nutzen wird
Anzeige
Spiele-Angebote
  1. 9,99€
  2. 9,99€
  3. (-10%) 8,99€
  4. gratis (bis 7. April, 18 Uhr)
Kommentarübersicht
Re: Riot/matrix ftw
011010111101 07. Okt 2019

Es läuft doch schon - Es fehlen nur noch Kleinigkeiten bis zur aktivierung

Re: Wie schlampig ist das denn?!
oleid 06. Okt 2019

Die Frage ist bei jeder Software zu stellen. Signal hat in jedem Fall jetzt eine solche...

Re: Fehler mit Liebe programmiert
KlugKacka 05. Okt 2019

Oha, noch so ein Eksberde. was soll man da noch dazu sagen? einfach nur traurig. und...

Re: Update für iOS
KlugKacka 05. Okt 2019

Hey, das Update liegt auf github, das Installationsmedium für Apple schlechthin. und ne...

4.47.7 automatisch aktualisiert am 28.09.2019
TetrisTyp 05. Okt 2019

Für alle, die jetzt Panik haben: Wenn ihr automatische Updates eingeschaltet habt, ist...

Folgen Sie uns
       
Tesla baut Gigafactory in Brandenburg - Bericht

Wald weg, Wasser weg, Tesla da? Wir haben Grünheide besucht.

Tesla baut Gigafactory in Brandenburg - Bericht Video aufrufen
BND
Verschlüsselung: Ist die Crypto AG wirklich Geschichte?
Verschlüsselung
Ist die Crypto AG wirklich Geschichte?

Der Fall der Crypto AG wirbelt in der Schweiz immer noch Staub auf. In Deutschland hingegen ist es auffallend still.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Schweizer Crypto AG Wie BND und CIA eine Verschlüsselungsfirma hackten
  2. Bundesverfassungsgericht Was darf ein deutscher Auslandsgeheimdienst?
  3. Gerichtsverfahren Bundesregierung verteidigt Auslandsspionage des BND
Coronavirus
Coronavirus: Spiele statt Schule
Coronavirus
Spiele statt Schule

Wer wegen des Coronavirus mit Kindern zu Hause ist, braucht einen spannenden Zeitvertreib. Unser Autor - selbst Vater - findet: Computerspiele können ein sinnvolles Angebot sein. Vorausgesetzt, man wählt die richtigen.
Von Rainer Sigl

  1. Coronavirus Funktion zur Netflix-Drosselung war längst geplant
  2. Coronakrise China will Elektroautoquote vorübergehend lockern
  3. Corona-Krise Palantir könnte Pandemie-Daten in Europa auswerten
AMD Zen
Asus Zephyrus G14 im Test: Ryzen-Renoir-Revolution!
Asus Zephyrus G14 im Test
Ryzen-Renoir-Revolution!

Dank acht CPU-Kernen bei nur 35 Watt schlägt Asus' Ryzen-basiertes 14-Zoll-Spiele-Notebook jegliche Konkurrenz.
Ein Test von Marc Sauter

  1. Intel MKL Matlab R2020a läuft auf Ryzen drastisch schneller
  2. DFI GHF51 Ryzen-Platine ist so klein wie Raspberry Pi
  3. Ryzen Mobile 4000 Das kann AMDs Renoir
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /