Abo
  • Services:

Blackphone: Schwerwiegender Fehler in der Messaging-App Silenttext

Über einen schwerwiegenden Fehler in der Messaging-Applikation Silenttext von Silent Circle könnten sich Angreifer Zugriff auf fremde Blackphones verschaffen. Die Sicherheitslücke befindet sich auch in der App für Android.

Artikel veröffentlicht am ,
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören.
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören. (Bild: Silent Circle)

In der Messaging-App Silenttext auf dem Blackphone ist ein schwerwiegender Fehler entdeckt worden, der es Angreifern erlaubt, Nachrichten zu entschlüsseln und sich im schlimmsten Fall sogar Zugriff auf das gesamte Smartphone zu verschaffen. Der Fehler ist auch in der Silenttext-App für Android vorhanden. Er wurde inzwischen behoben, Updates für das Blackphone und für die App im Play Store stehen bereit.

Stellenmarkt
  1. Bertrandt Ingenieurbüro GmbH, Köln
  2. Robert Bosch GmbH, Abstatt

Bei der Schwachstelle handelt es sich um einen Speicherzugriffsfehler, über den Angreifer beliebigen Code einschleusen können. Dazu muss nur die Silent-Circle-ID beziehungsweise die Telefonnummer des Opfers bekannt sein. Die Lücke lässt sich auch ohne Zutun des Opfers ausnutzen. Zunächst lässt sich der eingeschleuste Code nur im Kontext der App ausführen. Damit können aber ein- und ausgehende Nachrichten entschlüsselt, Standortdaten abgegriffen und Kontakte ausgelesen werden. Auch Schreibzugriffe auf den Flashspeicher sind möglich. Außerdem könnten Angreifer Exploit-Code ausführen, der ihnen möglicherweise Root-Rechte auf das Smartphone verschafft.

Datentypenverwechslung

Die Sicherheitslücke lässt sich durch eine manipulierte Nachricht auslösen, die über das von Silent Circle verwendete Instant Messaging Protocol (SCIMP) versendet wird. Durch einen Fehler in der Bibliothek Libscimp können Angreifer den integrierten JSON-Parser YAJL (Yet Another JSON Parser) nutzen, um eigenen Code in den Arbeitsspeicher einzuschleusen. Dabei lässt sich eine sogenannte Type-Confusion-Lücke ausnutzen, bei der der Parser zwei verschiedene Datentypen verwechselt. Dadurch lässt sich unerlaubt auf Speicherbereiche zugreifen.

Eine detaillierte Beschreibung der Lücke hat der Datenexperte Mark Dowd in seinem Blog veröffentlicht. Er hatte den Fehler entdeckt und Silent Circle darüber informiert.



Anzeige
Hardware-Angebote
  1. und Vive Pro vorbestellbar
  2. und Far Cry 5 gratis erhalten
  3. 107,85€ + Versand
  4. täglich neue Deals bei Alternate.de

der_heinz 30. Jan 2015

Ich benutze das Ding privat und deshalb zählt für mich vor allem, was ich privat an...


Folgen Sie uns
       


Genfer Autosalon 2018 - Bericht

Wir fassen den Genfer Autosalon 2018 im Video zusammen.

Genfer Autosalon 2018 - Bericht Video aufrufen
Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

    •  /