Abo
  • Services:
Anzeige
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören.
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören. (Bild: Silent Circle)

Blackphone: Schwerwiegender Fehler in der Messaging-App Silenttext

Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören.
Über einen Fehler in der Messaging-App von Silent Circle lassen sich verschlüsselte Nachrichten abhören. (Bild: Silent Circle)

Über einen schwerwiegenden Fehler in der Messaging-Applikation Silenttext von Silent Circle könnten sich Angreifer Zugriff auf fremde Blackphones verschaffen. Die Sicherheitslücke befindet sich auch in der App für Android.

Anzeige

In der Messaging-App Silenttext auf dem Blackphone ist ein schwerwiegender Fehler entdeckt worden, der es Angreifern erlaubt, Nachrichten zu entschlüsseln und sich im schlimmsten Fall sogar Zugriff auf das gesamte Smartphone zu verschaffen. Der Fehler ist auch in der Silenttext-App für Android vorhanden. Er wurde inzwischen behoben, Updates für das Blackphone und für die App im Play Store stehen bereit.

Bei der Schwachstelle handelt es sich um einen Speicherzugriffsfehler, über den Angreifer beliebigen Code einschleusen können. Dazu muss nur die Silent-Circle-ID beziehungsweise die Telefonnummer des Opfers bekannt sein. Die Lücke lässt sich auch ohne Zutun des Opfers ausnutzen. Zunächst lässt sich der eingeschleuste Code nur im Kontext der App ausführen. Damit können aber ein- und ausgehende Nachrichten entschlüsselt, Standortdaten abgegriffen und Kontakte ausgelesen werden. Auch Schreibzugriffe auf den Flashspeicher sind möglich. Außerdem könnten Angreifer Exploit-Code ausführen, der ihnen möglicherweise Root-Rechte auf das Smartphone verschafft.

Datentypenverwechslung

Die Sicherheitslücke lässt sich durch eine manipulierte Nachricht auslösen, die über das von Silent Circle verwendete Instant Messaging Protocol (SCIMP) versendet wird. Durch einen Fehler in der Bibliothek Libscimp können Angreifer den integrierten JSON-Parser YAJL (Yet Another JSON Parser) nutzen, um eigenen Code in den Arbeitsspeicher einzuschleusen. Dabei lässt sich eine sogenannte Type-Confusion-Lücke ausnutzen, bei der der Parser zwei verschiedene Datentypen verwechselt. Dadurch lässt sich unerlaubt auf Speicherbereiche zugreifen.

Eine detaillierte Beschreibung der Lücke hat der Datenexperte Mark Dowd in seinem Blog veröffentlicht. Er hatte den Fehler entdeckt und Silent Circle darüber informiert.


eye home zur Startseite
der_heinz 30. Jan 2015

Ich benutze das Ding privat und deshalb zählt für mich vor allem, was ich privat an...



Anzeige

Stellenmarkt
  1. united-domains AG, Starnberg bei München
  2. HALLHUBER GmbH, München
  3. p.a. GmbH, Poing
  4. Rhenus Assets & Services GmbH & Co. KG, Holzwickede


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 69,99€ (DVD 54,99€)
  3. (u. a. 10€ Rabatt auf Game of Thrones, reduzierte Box-Sets und 2 Serien-Staffeln auf Blu-ray für...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  2. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten

  3. Digitale Assistenten

    Google und Amazon kämpfen um Vorherrschaft

  4. Xperia Touch im Hands on

    Projektor macht jeden Tisch Android-tauglich

  5. RetroPie

    Distribution hat keine Rechte mehr am eigenen Namen

  6. Nokia 3310 im Hands on

    Der Nokia-Knochen mit Hipsterpotenzial

  7. Auto

    Macchina M2 bietet Zugriff auf Fahrzeugelektronik

  8. Pro x2 G2

    HPs Surface-Konkurrent bekommt neue Hardware

  9. Security

    Bluetooth-Skimming an der Supermarktkasse

  10. Windows 10 Creators Update

    Optionale Einstellung erlaubt nur noch Apps aus dem Store



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Watch 2 im Hands on: Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
Watch 2 im Hands on
Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
  1. Handy-Klassiker HMD Global bringt das Nokia 3310 zurück
  2. Galaxy Book im Hands on Samsung bringt neuen 2-in-1-Computer
  3. Mobilfunk "5G muss weit mehr als LTE bieten"

Asus Tinker Board im Test: Buntes Lotterielos rechnet schnell
Asus Tinker Board im Test
Buntes Lotterielos rechnet schnell
  1. Tinker-Board Asus bringt Raspberry-Pi-Klon
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint

Trappist-1: Der Zwerg und die sieben Planeten
Trappist-1
Der Zwerg und die sieben Planeten
  1. Weltraumteleskop Erosita soll Hinweise auf Dunkle Energie finden
  2. Astrophysik Ferne Galaxie schickt grelle Blitze zur Erde
  3. Astronomie Vera Rubin, die dunkle Materie und der Nobelpreis

  1. Re: Das Elektroautos schnell sein können...

    ArcherV | 14:49

  2. Re: Erstaunlich klarer VR Favorit?

    burzum | 14:48

  3. Re: Gibt es im Microsoft Store etwas außer...

    nille02 | 14:46

  4. Re: Sie haben es Mico$oft versprochen....

    tha_specializt | 14:45

  5. Zweithandy

    ugroeschel | 14:43


  1. 14:31

  2. 14:21

  3. 14:16

  4. 13:30

  5. 12:49

  6. 12:02

  7. 12:00

  8. 11:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel