Verschlüsselter Messenger: Signal kann jetzt anonym nach Gifs suchen

Mit einer neuen Funktion in Signal können Nutzer anonym nach animierten Gifs suchen. Dazu haben die Entwickler einiges an Arbeit investiert.

Artikel veröffentlicht am ,
Endlich: Signal kann ab sofort nach animierten Gifs suchen.
Endlich: Signal kann ab sofort nach animierten Gifs suchen. (Bild: Signal/Giphy)

Signal-Nutzer können in der Android-Version der App ab sofort animierte Gifs sicher an Freunde und Bekannte verschicken. Dazu hat das Team um Entwickler Moxie Marlinspike die Gif-Suche Giphy in die App integriert.

Stellenmarkt
  1. Risikomanager OpRisk - Ausgliederungsmanagement (m/w/d)
    ERGO Group AG, Düsseldorf
  2. Product Owner (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Stuttgart
Detailsuche

Nutzer müssen zum Versenden der animierten Bilder den Button für Anhänge neben dem Nachrichteneingabefeld betätigen, dort können Sie dann aus Vorschlägen auswählen oder auch Gifs nach Stichworten durchsuchen.

Gifs suchen, aber anonymisiert

Normalerweise würde eine Anfrage an Giphy die Vorlieben der Nutzer verraten. Signal hat daher ein mehrstufiges Verfahren entwickelt, um die Person hinter der Anfrage zu verschleiern. Wenn ein Nutzer eine Anfrage stellt, öffnet die Signal-App demnach eine TCP-Verbindung zu den Signal-Servern.

Diese öffnen eine weitere TCP-Verbindung zum HTTPS-Api-Endpoint von Giphy und vermitteln den Traffic zwischen Nutzer und Giphy. Die Signal-App nutzt dann TLS-Verschlüsselung, um das abgefragte Bild zu übertragen.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Weil die Signal-Server als Proxy für die Anfrage dienen, die Verbindung zwischen Giphy und dem Nutzer aber TLS-verschlüsselt ist, werden gleich zwei Ziele erreicht: Signal kennt den Inhalt der Nachricht nicht, für Giphy hingegen bleibt die Person hinter der Anfrage verborgen.

via GIPHY

Perfekt ist dieser Mechanismus nach Angaben von Signal aber nicht. Denn obwohl die IP-Adresse der Nutzer vor dem Dienst verschleiert wird, könnten die TLS-Session-Daten genutzt werden, um aus mehreren korrelierten Anfragen von Nutzern Rückschlüsse auf den Client zu ziehen. Auch Signal selbst könne durch eine Analyse des Traffics Rückschlüsse auf die gesuchten Bilder ziehen - das ginge über einen Größenvergleich der versendeten Bilder. Mit einer genügend großen Stichprobe könnten hier unter Umständen einzelne Bilder identifiziert werden.

Die Funktion ist zwar schon nutzbar, soll aber weiterentwickelt werden. Dann könnten häufig wiederkehrende Elemente per Padding verschleiert werden. Außerdem soll TLS-Session-Resume deaktiviert werden. Nach ausgiebigen Tests mit der Android-App soll die Funktion dann auch für die iOS- und Desktop-Clients umgesetzt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


berritorre 14. Nov 2016

Nein. Und wird auch so schnell erst mal nicht passieren. Ich verwende Signal nicht...

Tony_spitz 03. Nov 2016

Es stimmt auch schlichtweg nicht. Der Signal Client lässt sich ohne Handy nutzen. Nach...

HSB-Admin 03. Nov 2016

Beides habe ich auch noch nicht in den Diskussionen bei github gesehen. Vielleicht wäre...

HSB-Admin 03. Nov 2016

Auch hier kann ich wieder nur sagen: Von offizieller Seite ist damit nicht zu rechnen...

Proctrap 03. Nov 2016

vielen dank, werd ich mir später mal anschauen, ein Armutszeugnis ist es aber schon...



Aktuell auf der Startseite von Golem.de
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt

Während der ADAC seine Kunden bereits informiert hat, schweigt Amazon Deutschland noch zum Ende der Kooperation mit der Landesbank Berlin.

Kooperation: Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
Artikel
  1. Pixel 6 (Pro): Googles Tensor-SoC ist eine wilde Mischung
    Pixel 6 (Pro)
    Googles Tensor-SoC ist eine wilde Mischung

    Viel Samsung, wenig Google: Der Chip kombiniert extreme Computational Photography mit einem kuriosen Design zugunsten der Akkulaufzeit.
    Eine Analyse von Marc Sauter

  2. Apple, Amazon, Facebook: New World erlaubt Charaktertransfers
    Apple, Amazon, Facebook
    New World erlaubt Charaktertransfers

    Sonst noch was? Was am 20. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  3. Linux: Vom einfachen Speicherfehler zur Systemübernahme
    Linux
    Vom einfachen Speicherfehler zur Systemübernahme

    Ein häufig vorkommender Fehler in C-Code hat einen Google-Entwickler motiviert, über Gegenmaßnahmen nachzudenken.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week Finale: Bis 33% auf Digitus-Monitorhalterungen & bis 36 Prozent auf EVGA-Netzteile • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /