Abo
  • Services:
Anzeige
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören.
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören. (Bild: Silent Circle)

Blackphone: Schwerwiegender Fehler in der Messaging-App Silenttext

Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören.
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören. (Bild: Silent Circle)

Über einen schwerwiegenden Fehler in der Messaging-Applikation Silenttext von Silent Circle könnten sich Angreifer Zugriff auf fremde Blackphones verschaffen. Die Sicherheitslücke befindet sich auch in der App für Android.

Anzeige

In der Messaging-App Silenttext auf dem Blackphone ist ein schwerwiegender Fehler entdeckt worden, der es Angreifern erlaubt, Nachrichten zu entschlüsseln und sich im schlimmsten Fall sogar Zugriff auf das gesamte Smartphone zu verschaffen. Der Fehler ist auch in der Silenttext-App für Android vorhanden. Er wurde inzwischen behoben, Updates für das Blackphone und für die App im Play Store stehen bereit.

Bei der Schwachstelle handelt es sich um einen Speicherzugriffsfehler, über den Angreifer beliebigen Code einschleusen können. Dazu muss nur die Silent-Circle-ID beziehungsweise die Telefonnummer des Opfers bekannt sein. Die Lücke lässt sich auch ohne Zutun des Opfers ausnutzen. Zunächst lässt sich der eingeschleuste Code nur im Kontext der App ausführen. Damit können aber ein- und ausgehende Nachrichten entschlüsselt, Standortdaten abgegriffen und Kontakte ausgelesen werden. Auch Schreibzugriffe auf den Flashspeicher sind möglich. Außerdem könnten Angreifer Exploit-Code ausführen, der ihnen möglicherweise Root-Rechte auf das Smartphone verschafft.

Datentypenverwechslung

Die Sicherheitslücke lässt sich durch eine manipulierte Nachricht auslösen, die über das von Silent Circle verwendete Instant Messaging Protocol (SCIMP) versendet wird. Durch einen Fehler in der Bibliothek Libscimp können Angreifer den integrierten JSON-Parser YAJL (Yet Another JSON Parser) nutzen, um eigenen Code in den Arbeitsspeicher einzuschleusen. Dabei lässt sich eine sogenannte Type-Confusion-Lücke ausnutzen, bei der der Parser zwei verschiedene Datentypen verwechselt. Dadurch lässt sich unerlaubt auf Speicherbereiche zugreifen.

Eine detaillierte Beschreibung der Lücke hat der Datenexperte Mark Dowd in seinem Blog veröffentlicht. Er hatte den Fehler entdeckt und Silent Circle darüber informiert.


eye home zur Startseite
der_heinz 30. Jan 2015

Ich benutze das Ding privat und deshalb zählt für mich vor allem, was ich privat an...



Anzeige

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. via Nash direct GmbH, Erlangen
  4. Leadec Management Central Europe BV & Co. KG, Stuttgart


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. (u. a. John Wick, Pulp Fiction, Leon der Profi, Good Will Hunting)

Folgen Sie uns
       


  1. VW-Programm

    Jeder Zehnte tauscht Diesel gegen Elektroantrieb

  2. Spaceborne Computer

    HPEs Weltraumcomputer rechnet mit 1 Teraflops

  3. Unterwegs auf der Babymesse

    "Eltern vibrieren nicht"

  4. Globalfoundries

    AMD nutzt künftig die 12LP-Fertigung

  5. Pocketbeagle

    Beaglebone passt in die Hosentasche

  6. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  7. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  8. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  9. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  10. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Nicht die 1 TFLOPS sind erstaunlich sondern dass...

    rubberduck09 | 10:21

  2. Re: Es nervt!!!

    DetlevCM | 10:21

  3. Re: QC35 praktisch nicht professionell als...

    dynAdZ | 10:19

  4. Re: Raspi Zero

    smartifahrer | 10:19

  5. Re: 40Wh für 20 Stunden Betriebszeit?

    HanSwurst101 | 10:19


  1. 10:13

  2. 09:56

  3. 09:06

  4. 08:11

  5. 07:21

  6. 18:13

  7. 17:49

  8. 17:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel