Abo
  • Services:
Anzeige
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören.
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören. (Bild: Silent Circle)

Blackphone: Schwerwiegender Fehler in der Messaging-App Silenttext

Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören.
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören. (Bild: Silent Circle)

Über einen schwerwiegenden Fehler in der Messaging-Applikation Silenttext von Silent Circle könnten sich Angreifer Zugriff auf fremde Blackphones verschaffen. Die Sicherheitslücke befindet sich auch in der App für Android.

Anzeige

In der Messaging-App Silenttext auf dem Blackphone ist ein schwerwiegender Fehler entdeckt worden, der es Angreifern erlaubt, Nachrichten zu entschlüsseln und sich im schlimmsten Fall sogar Zugriff auf das gesamte Smartphone zu verschaffen. Der Fehler ist auch in der Silenttext-App für Android vorhanden. Er wurde inzwischen behoben, Updates für das Blackphone und für die App im Play Store stehen bereit.

Bei der Schwachstelle handelt es sich um einen Speicherzugriffsfehler, über den Angreifer beliebigen Code einschleusen können. Dazu muss nur die Silent-Circle-ID beziehungsweise die Telefonnummer des Opfers bekannt sein. Die Lücke lässt sich auch ohne Zutun des Opfers ausnutzen. Zunächst lässt sich der eingeschleuste Code nur im Kontext der App ausführen. Damit können aber ein- und ausgehende Nachrichten entschlüsselt, Standortdaten abgegriffen und Kontakte ausgelesen werden. Auch Schreibzugriffe auf den Flashspeicher sind möglich. Außerdem könnten Angreifer Exploit-Code ausführen, der ihnen möglicherweise Root-Rechte auf das Smartphone verschafft.

Datentypenverwechslung

Die Sicherheitslücke lässt sich durch eine manipulierte Nachricht auslösen, die über das von Silent Circle verwendete Instant Messaging Protocol (SCIMP) versendet wird. Durch einen Fehler in der Bibliothek Libscimp können Angreifer den integrierten JSON-Parser YAJL (Yet Another JSON Parser) nutzen, um eigenen Code in den Arbeitsspeicher einzuschleusen. Dabei lässt sich eine sogenannte Type-Confusion-Lücke ausnutzen, bei der der Parser zwei verschiedene Datentypen verwechselt. Dadurch lässt sich unerlaubt auf Speicherbereiche zugreifen.

Eine detaillierte Beschreibung der Lücke hat der Datenexperte Mark Dowd in seinem Blog veröffentlicht. Er hatte den Fehler entdeckt und Silent Circle darüber informiert.


eye home zur Startseite
der_heinz 30. Jan 2015

Ich benutze das Ding privat und deshalb zählt für mich vor allem, was ich privat an...



Anzeige

Stellenmarkt
  1. gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, Berlin
  2. Ratbacher GmbH, Großraum Melsungen
  3. T-Systems International GmbH, verschiedene Standorte
  4. TAIFUN Software AG, Raum Bayern


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Counter-Strike Go

    Bei Abschuss Ransomware

  2. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  3. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  4. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  5. Mobile

    Razer soll Smartphone für Gamer planen

  6. Snail Games

    Dark and Light stürmt Steam

  7. IETF

    Netzwerker wollen Quic-Pakete tracken

  8. Surface Diagnostic Toolkit

    Surface-Tool kommt in den Windows Store

  9. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  10. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Drogenhandel Weltweit größter Darknet-Marktplatz Alphabay ausgehoben
  2. Kryptowährungen Massiver Diebstahl von Ether
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF DNS wird sicher, aber erst später
  2. IETF Wie TLS abgehört werden könnte
  3. IETF 5G braucht das Internet - auch ohne Internet

  1. Re: kein einziger meter

    Malukai | 12:45

  2. Re: Darum Internetspiele immer nur Isoliert...

    ArcherV | 12:43

  3. Re: warum kann man die RTT nicht mehr messen?

    Poison Nuke | 12:40

  4. Re: Achso

    forenuser | 12:23

  5. Re: Monorail

    Malukai | 12:21


  1. 12:43

  2. 11:54

  3. 09:02

  4. 16:55

  5. 16:33

  6. 16:10

  7. 15:56

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel