• IT-Karriere:
  • Services:

Android-Messenger: Signal-Sicherheitslücke erlaubt Belauschen von Nutzern

Ein Fehler in Signal ermöglicht es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss. Damit könnten Personen belauscht werden. Ein Update steht bereit.

Artikel veröffentlicht am ,
Eine Signal-Lücke ermöglicht es, dafür zu sorgen, dass ein Anruf direkt angenommen wird.
Eine Signal-Lücke ermöglicht es, dafür zu sorgen, dass ein Anruf direkt angenommen wird. (Bild: Leif Jørgensen, Wikimedia Commons/CC-BY-SA 4.0)

Im verschlüsselten Messenger Signal unter Android wurde eine Sicherheitslücke entdeckt, mit der man Personen belauschen kann. Natalie Silvanovich von Googles Project Zero hat die Lücke entdeckt und an die Entwickler von Signal gemeldet. Nutzer von Signal sollten ein Update installieren.

Stellenmarkt
  1. ITDZ Berlin über Kienbaum Consultants International GmbH, Berlin
  2. Swyx Solutions GmbH, Dortmund

Die Lücke basiert darauf, dass man einen Telefonanruf auslösen und gleich dafür sorgen kann, dass der Empfänger diesen annimmt, ohne dass dafür Nutzerinteraktion nötig ist. Möglich ist das durch eine Protokollnachricht, die in zwei Situationen verschickt wird: Wenn ein Nutzer einen Anruf annimmt oder wenn ein Nutzer vom anderen Gerät die Information erhält, dass dort ein Anruf angenommen wurde. Nach dieser Protokollnachricht wird eine Sprachverbindung aufgebaut.

Anruf kann vom Absender akzeptiert werden

Das Problem ist folgendes: Ein Anrufer kann zunächst einen Anruf abschicken und dann eine Nachricht schicken, die normalerweise signalisiert, dass ein Anruf angenommen wurde. Man könnte also sagen, dass der Anrufer beide Schritte - das Anrufen und das Annehmen des Anrufs - übernimmt. Die Programmlogik von Signal berücksichtigt diesen Fall nicht und akzeptiert das.

Ob bei einem auf diese Weise direkt angenommenen Anruf ein Anrufton zu hören ist, geht aus dem Fehlerbericht nicht hervor. Es ist aber in jedem Fall problematisch, da man das Anrufsignal möglicherweise überhört oder das Gerät lautlos geschaltet ist. Somit kann ein Angreifer das Telefon nutzen, um jemanden zu belauschen.

Das Problem ist zwar sowohl in der Android- als auch in der iOS-Version von Signal vorhanden, es lässt sich aber unter iOS nicht trivial ausnutzen, da dort vorher ein Fehler im Nutzerinterface ausgelöst wird. Silvanovich schreibt aber, dass sie nicht sicher ist, ob dieser Fehler in allen Fällen auftritt.

Nutzer von Signal unter Android sollten die App auf jeden Fall schnellstmöglich aktualisieren. Behoben ist der Fehler in der Version 4.47.7, die im Play-Store von Google bereitsteht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Macbook Air mit Apple Silicon im Test
    Das beste Macbook braucht kein Intel
  2. Klage gegen Google
    Android soll 260 MByte Mobilfunkdaten pro Monat übertragen
  3. Microsoft
    Windows 10X soll im Frühling 2021 kommen
  4. IT-Teams
    Jeder möchte wichtig sein
  5. Designzentrum Berlin
    Tesla deutet kleines Europa-Elektroauto an
Anzeige
Spiele-Angebote
  1. 33,99€
  2. 36,99€
  3. 5,99€
Kommentarübersicht
Re: Riot/matrix ftw
011010111101 07. Okt 2019

Es läuft doch schon - Es fehlen nur noch Kleinigkeiten bis zur aktivierung

Re: Wie schlampig ist das denn?!
oleid 06. Okt 2019

Die Frage ist bei jeder Software zu stellen. Signal hat in jedem Fall jetzt eine solche...

Re: Fehler mit Liebe programmiert
KlugKacka 05. Okt 2019

Oha, noch so ein Eksberde. was soll man da noch dazu sagen? einfach nur traurig. und...

Re: Update für iOS
KlugKacka 05. Okt 2019

Hey, das Update liegt auf github, das Installationsmedium für Apple schlechthin. und ne...

4.47.7 automatisch aktualisiert am 28.09.2019
TetrisTyp 05. Okt 2019

Für alle, die jetzt Panik haben: Wenn ihr automatische Updates eingeschaltet habt, ist...

Folgen Sie uns
       
Playstation 5 ausgepackt

Im Video packt Golem.de aus: Nämlich die Playstation 5 von Sony.

Playstation 5 ausgepackt Video aufrufen
Smart Home
AVM Fritzdect Smarthome im Test: Nicht smart kann auch smarter sein
AVM Fritzdect Smarthome im Test
Nicht smart kann auch smarter sein

AVMs Fritz Smarthome nutzt den Dect-Standard, um Lampen und Schalter miteinander zu verbinden. Das geht auch offline im eigenen LAN.
Ein Test von Oliver Nickel

  1. Konkurrenz zu Philips Hue Signify bringt WLAN-Lampen von Wiz auf den Markt
  2. Smarte Kühlschränke Hersteller verschweigen Kundschaft Support-Dauer
  3. Magenta Smart Home Telekom bietet mehr für das kostenlose Angebot
Arbeit
Weiterbildung: Was IT-Führungskräfte können sollten
Weiterbildung
Was IT-Führungskräfte können sollten

Wenn IT-Spezialisten zu Führungskräften aufsteigen, müssen sie Fachwissen in fremden Gebieten aufbauen - um Probleme im neuen Job zu vermeiden.
Ein Bericht von Manuel Heckel

  1. IT-Profis und Visualisierung Sag's in Bildern
  2. IT-Jobs Die schwierige Suche nach dem richtigen Arbeitgeber
  3. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
Tastatur
Keyboardio Atreus im Test: Die Tastatur für platzbewusste Ergonomiker
Keyboardio Atreus im Test
Die Tastatur für platzbewusste Ergonomiker

Eine extreme Tastatur für besondere Geschmäcker: Die Atreus von Keyboardio ist äußerst gewöhnungsbedürftig, belohnt aber mit angenehmem Tippgefühl.
Ein Test von Tobias Költzsch

  1. HyperX x Ducky One 2 Mini im Test Kompakt, leuchtstark, limitiert
  2. Nemeio Tastatur mit E-Paper-Tasten ist finanziert
  3. Everest Max im Test Mehr kann man von einer Tastatur nicht wollen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /