Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Messenger: Signal hat falsche Bilder an Kontakte gesendet

Die Signal -Entwickler haben nach 6 Monaten einen Bug behoben, durch welchen unter Android zusätzliche Bilder an Kontakte gesendet wurden.
/ Moritz Tremmel
15 Kommentare News folgen (öffnet im neuen Fenster)
Das Logo des Messengers Signal (Bild: Xosé Bouzas/Hans Lucas via Reuters Connect)
Das Logo des Messengers Signal Bild: Xosé Bouzas/Hans Lucas via Reuters Connect

Ein schwerwiegender Fehler in der Android-App von Signal wurde vom Entwickler-Team behoben. Dadurch konnten in selten Fällen per Zufall weitere, nicht ausgewählte Bilder an Signal-Kontakte gesendet werden. Die Desktop- und iOS-Versionen waren nicht betroffen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Softwareentwickler SAP (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)
Marketing Platform Manager (w|m|d) - Customer Data Platform ADAC SE, München (öffnet im neuen Fenster)
Manager Revenue & Margin Assurance (m/w/d) DNS:NET Internet Service GmbH, Berlin (öffnet im neuen Fenster)
Embedded Software Developer (m/f/d) - FPGA Systems Advantest Europe GmbH, Böblingen (öffnet im neuen Fenster)
Auszubildende Fachinformatiker für Anwendungsentwicklung (D/M/W) Pradtke GmbH, Bochum (öffnet im neuen Fenster)
Digital Transformation Manager (w/m/d) 50Hertz Transmission GmbH, Berlin (öffnet im neuen Fenster)
Spezialist*in für Cybersicherheit (w/m/d) für den Bereich IT-Netze und operative Informationssicherheit Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Bonn (öffnet im neuen Fenster)

Mehrere Benutzer berichteten auf Github(öffnet im neuen Fenster) über das Phänomen und belegten es teils mit Screenshots. In einem Screenshot sieht man neben einer Galerie aus Naturbildern auch ein Meme, das eigentlich nicht an den Signal-Kontakt gesendet werden sollte. Das kann je nach Bild unangenehme Folgen haben.

Der Fehler sei auf eine seltene Überschneidung von einigen Datenbankeigenschaften und einen weiteren Bug zurückzuführen, erklärte der Signal-Entwickler Greyson Parrelli(öffnet im neuen Fenster) . "Die Kurzfassung ist, dass eine seltene Situation entstehen konnte, in der eine Datenbank-ID in einer Weise wiederverwendet wurde, die zu diesem Verhalten führen konnte, wenn jemand die Konversationsbeschneidung aktiviert hatte." Durch Letztere lässt sich festlegen, dass beispielsweise nicht mehr als 1.000 Nachrichten auf einem Android-Gerät verbleiben sollen.

Problem erst nach 6 Monaten behoben

Obwohl das Problem bereits im Dezember 2020 gemeldet wurde, hat Signal das Problem erst in diesem Monat mit Version 5.17 behoben. Mehrere Nutzer warfen daraufhin Signal vor, den schwerwiegenden Fehler nicht ernst genommen zu haben und sich nicht schnell genug um eine Lösung bemüht zu haben.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Dem widerspricht Parrelli: "Wir nehmen Probleme wie diese tatsächlich sehr ernst. Dieser Fehler war außerordentlich selten, und da wir keine Metriken/Remote-Log-Sammlung haben, gab es eine anfängliche Periode, in der wir Zeit damit verbringen mussten, Logging hinzuzufügen und von Benutzern eingereichte Logs zu sammeln, um zu versuchen, ihn aufzuspüren."

Reklame

Hacking & Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Gebundene Ausgabe)

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Letztlich habe das Problem das vertrauliche Senden von Bildern unter Android praktisch unmöglich gemacht, schreibt ein Nutzer auf Github(öffnet im neuen Fenster) . Ein anderer User, bei dem das Problem dauerhaft auftrat, hatte in der Zwischenzeit bereits einen Workaround entwickelt(öffnet im neuen Fenster) , indem er unter Android nur noch Bilder an sich selbst ("Notiz an mich") sendete. Diese schickte er anschließend von der nicht betroffenen Desktop-Variante von Signal an seine Kontakte.

Zur Startseite 15 Kommentare

Relevante Themen

SoftwareToolsSecuritySicherheitslückeSignalDatensicherheitInstant MessengerMessenger