Original-URL des Artikels: https://www.golem.de/news/verschluesselter-messenger-signal-kann-jetzt-anonym-nach-gifs-suchen-1611-124215.html    Veröffentlicht: 02.11.2016 17:31    Kurz-URL: https://glm.io/124215

Verschlüsselter Messenger

Signal kann jetzt anonym nach Gifs suchen

Mit einer neuen Funktion in Signal können Nutzer anonym nach animierten Gifs suchen. Dazu haben die Entwickler einiges an Arbeit investiert.

Signal-Nutzer können in der Android-Version der App ab sofort animierte Gifs sicher an Freunde und Bekannte verschicken. Dazu hat das Team um Entwickler Moxie Marlinspike die Gif-Suche Giphy in die App integriert.

Nutzer müssen zum Versenden der animierten Bilder den Button für Anhänge neben dem Nachrichteneingabefeld betätigen, dort können Sie dann aus Vorschlägen auswählen oder auch Gifs nach Stichworten durchsuchen.

Gifs suchen, aber anonymisiert

Normalerweise würde eine Anfrage an Giphy die Vorlieben der Nutzer verraten. Signal hat daher ein mehrstufiges Verfahren entwickelt, um die Person hinter der Anfrage zu verschleiern. Wenn ein Nutzer eine Anfrage stellt, öffnet die Signal-App demnach eine TCP-Verbindung zu den Signal-Servern.

Diese öffnen eine weitere TCP-Verbindung zum HTTPS-Api-Endpoint von Giphy und vermitteln den Traffic zwischen Nutzer und Giphy. Die Signal-App nutzt dann TLS-Verschlüsselung, um das abgefragte Bild zu übertragen.

Weil die Signal-Server als Proxy für die Anfrage dienen, die Verbindung zwischen Giphy und dem Nutzer aber TLS-verschlüsselt ist, werden gleich zwei Ziele erreicht: Signal kennt den Inhalt der Nachricht nicht, für Giphy hingegen bleibt die Person hinter der Anfrage verborgen.

via GIPHY



Perfekt ist dieser Mechanismus nach Angaben von Signal aber nicht. Denn obwohl die IP-Adresse der Nutzer vor dem Dienst verschleiert wird, könnten die TLS-Session-Daten genutzt werden, um aus mehreren korrelierten Anfragen von Nutzern Rückschlüsse auf den Client zu ziehen. Auch Signal selbst könne durch eine Analyse des Traffics Rückschlüsse auf die gesuchten Bilder ziehen - das ginge über einen Größenvergleich der versendeten Bilder. Mit einer genügend großen Stichprobe könnten hier unter Umständen einzelne Bilder identifiziert werden.

Die Funktion ist zwar schon nutzbar, soll aber weiterentwickelt werden. Dann könnten häufig wiederkehrende Elemente per Padding verschleiert werden. Außerdem soll TLS-Session-Resume deaktiviert werden. Nach ausgiebigen Tests mit der Android-App soll die Funktion dann auch für die iOS- und Desktop-Clients umgesetzt werden.  (hg)


Verwandte Artikel:
Signal Foundation: Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal   
(21.02.2018, https://glm.io/132911 )
Messenger: Telegram zwischenzeitlich aus dem App Store verschwunden   
(01.02.2018, https://glm.io/132521 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Sicherheitsaudit: US-Heimatschutzministerium nutzt altes Flash und Windows   
(08.03.2018, https://glm.io/133214 )
ARD-Talk "Hart aber fair": Warum keine anonymen Zuschauerbeiträge mehr zugelassen sind   
(13.01.2014, https://glm.io/103883 )

© 1997–2020 Golem.de, https://www.golem.de/