Nach Social-Media-Drama: Signal patcht eine seit 2018 bekannte Schwachstelle

Auch andere Nutzer(öffnet im neuen Fenster) konnten dieses Verhalten, das sich nicht auf die MacOS-Version von Signal beschränkt(öffnet im neuen Fenster) , reproduzieren. Angreifer können diese Schwachstelle beispielsweise durch eine Malware ausnutzen und sich so einen Zugang zu den Chats einer Zielperson verschaffen.

Signal-Präsidentin wiegelt ab

Nachdem das Thema in sozialen Netzwerken reichlich Aufmerksamkeit erlangt hatte, reagierte auch die Signal-Präsidentin Meredith Whittaker(öffnet im neuen Fenster) darauf. Sie stellte klar, dass ein Angreifer die Schwachstelle nur dann ausnutzen kann, wenn er "Vollzugriff auf das Gerät" hat – entweder physisch oder per Malware. "Davor kann sich weder Signal noch eine andere App vollständig schützen. Das haben wir auch nie behauptet" , sagte Whittaker.

Mysk und Bakry widersprechen dem allerdings(öffnet im neuen Fenster) und erklären, die Chat-Datenbank von Signal liege in einem ungeschützten Bereich des Dateisystems, sodass jeder Benutzerprozess ohne spezielle Berechtigungen oder Benutzerabfragen vollständig darauf zugreifen könne. Dies lasse sich etwa durch Sandboxing-Technologien wie Windows AppContainer oder MacOS App Sandbox lösen.

Whittaker warf den Forschern außerdem vor, die Schwachstelle sofort öffentlich in sozialen Netzwerken kommuniziert zu haben, statt sich zuerst direkt an Signal zu wenden. "Das ist das Gegenteil von verantwortungsvoller Offenlegung" , so die Signal-Präsidentin.

Mysk und Bakry erwiderten darauf, sie hätten es nicht für nötig gehalten, sich zuerst an Signal zu wenden, da den Signal-Entwicklern das Problem schon seit 2018 bekannt(öffnet im neuen Fenster) sei. "Nach sechs Jahren ohne eine Lösung glauben wir, dass es wichtiger ist, das Bewusstsein zu schärfen, als zu versuchen, direkt mit Signal oder einem anderen Anbieter in Kontakt zu treten" , so die Forscher.

Nach langem Hin und Her kommt nun doch ein Fix

Da Signal als besonders sicherer Messenger beworben wird, sieht das Forscherteam bei dem Anbieter eine große Verantwortung gegenüber den Nutzern. "Viele verlassen sich darauf, dass Signal die sicherste Art der Kommunikation in Gebieten der Welt ist, in denen ihr Leben in Gefahr wäre, wenn ihre Nachrichten kompromittiert würden" , schreiben die Forscher auf Mastodon(öffnet im neuen Fenster) .

Nach all der medialen Aufmerksamkeit scheint sich Signal des Problems nun auch tatsächlich anzunehmen(öffnet im neuen Fenster) . Wie aus einem Github-Kommentar eines Signal-Entwicklers(öffnet im neuen Fenster) hervorgeht, soll der bisher im Klartext gespeicherte Schlüssel für die lokale Chat-Datenbank künftig in einem verschlüsselten Keystore abgelegt werden. Bis der Klartext-Schlüssel vollständig verschwindet, dauert es aber wohl noch eine Weile. "Das ist eine große Änderung, die umfassend getestet werden muss" , schreibt der Entwickler.

Viel Aufmerksamkeit erhielt auch der darauffolgende Kommentar(öffnet im neuen Fenster) eines anderen Github-Nutzers, in dem Signal aufgefordert wird, beim nächsten Mal schneller zu handeln. "Warten Sie nicht auf ein Twitter-Drama, um Dinge zu implementieren" , heißt es darin. "Ich hoffe, dass die Lektion gelernt wurde und ähnliche Probleme in Zukunft nicht mehr auftreten."

Auch Mysk und Bakry ziehen ihre Schlüsse aus dem Vorfall. "Wir können Signal nicht mehr als sichere Chat-App empfehlen. Und wir werden keine Sicherheitslücken im Zusammenhang mit Signal mehr prüfen, melden oder veröffentlichen" , schreiben die Forscher auf Mastodon(öffnet im neuen Fenster) . "Sie beheben das Problem, weil es sich viral verbreitet hat, und nicht, weil sie glauben, dass es notwendig ist, es zu beheben" , heißt es in einem weiteren Beitrag(öffnet im neuen Fenster) .

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.