Messenger: Signal hat falsche Bilder an Kontakte gesendet

Ein schwerwiegender Fehler in der Android-App von Signal wurde vom Entwickler-Team behoben. Dadurch konnten in selten Fällen per Zufall weitere, nicht ausgewählte Bilder an Signal-Kontakte gesendet werden. Die Desktop- und iOS-Versionen waren nicht betroffen.

Mehrere Benutzer berichteten auf Github über das Phänomen und belegten es teils mit Screenshots. In einem Screenshot sieht man neben einer Galerie aus Naturbildern auch ein Meme, das eigentlich nicht an den Signal-Kontakt gesendet werden sollte. Das kann je nach Bild unangenehme Folgen haben.

Der Fehler sei auf eine seltene Überschneidung von einigen Datenbankeigenschaften und einen weiteren Bug zurückzuführen, erklärte der Signal-Entwickler Greyson Parrelli. "Die Kurzfassung ist, dass eine seltene Situation entstehen konnte, in der eine Datenbank-ID in einer Weise wiederverwendet wurde, die zu diesem Verhalten führen konnte, wenn jemand die Konversationsbeschneidung aktiviert hatte." Durch Letztere lässt sich festlegen, dass beispielsweise nicht mehr als 1.000 Nachrichten auf einem Android-Gerät verbleiben sollen.

Problem erst nach 6 Monaten behoben

Obwohl das Problem bereits im Dezember 2020 gemeldet wurde, hat Signal das Problem erst in diesem Monat mit Version 5.17 behoben. Mehrere Nutzer warfen daraufhin Signal vor, den schwerwiegenden Fehler nicht ernst genommen zu haben und sich nicht schnell genug um eine Lösung bemüht zu haben.

Dem widerspricht Parrelli: "Wir nehmen Probleme wie diese tatsächlich sehr ernst. Dieser Fehler war außerordentlich selten, und da wir keine Metriken/Remote-Log-Sammlung haben, gab es eine anfängliche Periode, in der wir Zeit damit verbringen mussten, Logging hinzuzufügen und von Benutzern eingereichte Logs zu sammeln, um zu versuchen, ihn aufzuspüren."

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Letztlich habe das Problem das vertrauliche Senden von Bildern unter Android praktisch unmöglich gemacht, schreibt ein Nutzer auf Github. Ein anderer User, bei dem das Problem dauerhaft auftrat, hatte in der Zwischenzeit bereits einen Workaround entwickelt, indem er unter Android nur noch Bilder an sich selbst ("Notiz an mich") sendete. Diese schickte er anschließend von der nicht betroffenen Desktop-Variante von Signal an seine Kontakte.