Android-Messenger: Signal-Sicherheitslücke erlaubt Belauschen von Nutzern

Ein Fehler in Signal ermöglicht es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss. Damit könnten Personen belauscht werden. Ein Update steht bereit.

Artikel veröffentlicht am ,
Eine Signal-Lücke ermöglicht es, dafür zu sorgen, dass ein Anruf direkt angenommen wird.
Eine Signal-Lücke ermöglicht es, dafür zu sorgen, dass ein Anruf direkt angenommen wird. (Bild: Leif Jørgensen, Wikimedia Commons/CC-BY-SA 4.0)

Im verschlüsselten Messenger Signal unter Android wurde eine Sicherheitslücke entdeckt, mit der man Personen belauschen kann. Natalie Silvanovich von Googles Project Zero hat die Lücke entdeckt und an die Entwickler von Signal gemeldet. Nutzer von Signal sollten ein Update installieren.

Stellenmarkt
  1. (Wirtschafts)Informatiker*in als Innovation Engineer für Digitalisierung und Datenwirtschaft
    Fraunhofer-Institut für Software- und Systemtechnik ISST, Dortmund-Hombruch
  2. (Senior) PMO Mitarbeiter (m/w/d)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
Detailsuche

Die Lücke basiert darauf, dass man einen Telefonanruf auslösen und gleich dafür sorgen kann, dass der Empfänger diesen annimmt, ohne dass dafür Nutzerinteraktion nötig ist. Möglich ist das durch eine Protokollnachricht, die in zwei Situationen verschickt wird: Wenn ein Nutzer einen Anruf annimmt oder wenn ein Nutzer vom anderen Gerät die Information erhält, dass dort ein Anruf angenommen wurde. Nach dieser Protokollnachricht wird eine Sprachverbindung aufgebaut.

Anruf kann vom Absender akzeptiert werden

Das Problem ist folgendes: Ein Anrufer kann zunächst einen Anruf abschicken und dann eine Nachricht schicken, die normalerweise signalisiert, dass ein Anruf angenommen wurde. Man könnte also sagen, dass der Anrufer beide Schritte - das Anrufen und das Annehmen des Anrufs - übernimmt. Die Programmlogik von Signal berücksichtigt diesen Fall nicht und akzeptiert das.

Ob bei einem auf diese Weise direkt angenommenen Anruf ein Anrufton zu hören ist, geht aus dem Fehlerbericht nicht hervor. Es ist aber in jedem Fall problematisch, da man das Anrufsignal möglicherweise überhört oder das Gerät lautlos geschaltet ist. Somit kann ein Angreifer das Telefon nutzen, um jemanden zu belauschen.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Das Problem ist zwar sowohl in der Android- als auch in der iOS-Version von Signal vorhanden, es lässt sich aber unter iOS nicht trivial ausnutzen, da dort vorher ein Fehler im Nutzerinterface ausgelöst wird. Silvanovich schreibt aber, dass sie nicht sicher ist, ob dieser Fehler in allen Fällen auftritt.

Nutzer von Signal unter Android sollten die App auf jeden Fall schnellstmöglich aktualisieren. Behoben ist der Fehler in der Version 4.47.7, die im Play-Store von Google bereitsteht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Akkutechnik und E-Mobilität
Natrium-Ionen-Akkus werden echte Lithium-Alternative

Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
Von Frank Wunderlich-Pfeiffer

Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
Artikel
  1. Festnetz: Telekom verteilt bei Umzug mobiles Datenvolumen
    Festnetz
    Telekom verteilt bei Umzug mobiles Datenvolumen

    Die Telekom bietet einen neuen Service, wenn der Festnetzanschluss an eine neue Adresse umzieht.

  2. Windows-Dialoge: Überreste von Windows 3.1 in Windows 11 entdeckt
    Windows-Dialoge
    Überreste von Windows 3.1 in Windows 11 entdeckt

    Windows-Dialoge aus der Zeit von Windows 3.1 sind auch in Windows 11 noch zu sehen.

  3. Echtzeit-Strategie: Alle Völker von Age of Empires 4 vorgestellt
    Echtzeit-Strategie
    Alle Völker von Age of Empires 4 vorgestellt

    Jetzt liegen Details über alle Völker und Kampagnen des Echtzeit-Strategiespiels Age of Empires 4 vor - im Oktober 2021 beginnt der Kampf.

011010111101 07. Okt 2019

Es läuft doch schon - Es fehlen nur noch Kleinigkeiten bis zur aktivierung

oleid 06. Okt 2019

Die Frage ist bei jeder Software zu stellen. Signal hat in jedem Fall jetzt eine solche...

KlugKacka 05. Okt 2019

Oha, noch so ein Eksberde. was soll man da noch dazu sagen? einfach nur traurig. und...

KlugKacka 05. Okt 2019

Hey, das Update liegt auf github, das Installationsmedium für Apple schlechthin. und ne...

TetrisTyp 05. Okt 2019

Für alle, die jetzt Panik haben: Wenn ihr automatische Updates eingeschaltet habt, ist...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • GP Anniversary Sale - Teil 4: Indie & Arcade • Weekend Deals (u. a. Seagate ext. HDD 4TB 89,90€) • 10% auf Gaming-Produkte bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) [Werbung]
    •  /