Firmenlink

ESET

 

Sicherheitslücke in Signal ermöglicht Lauschangriff

Signal-Nutzer können mittels einfachem Anruf belauscht werden. Ein Logikfehler im Code des Messengers lässt dies im Android-Client zu. Betroffene Anwender sollten schnellstmöglich das bereitgestellte Update installieren.

von Alexandra Lindner 07.10.2019

Forscher aus Googles Project Zero haben eine Sicherheitslücke im Messenger Signal entdeckt, die ein heimliches Belauschen von Nutzern ermöglicht. Der Fehler befindet sich im Android-Client des Messengers. Ein Anrufer kann hier das Gerät des Empfängers ohne Interaktion des Rezipienten zur Annahme eines Gesprächs zwingen.

Die Sicherheitsexperten beschreiben die Lücke auf dem Project-Zero-Blog genauer: Demnach basiert das Leck auf der sogenannten handleCallConnection des Android-Clients von Signal. Diese Methode wird laut Blogeintrag für gewöhnlich in zwei Situationen angewandt. Entweder, wenn der Angerufene das Gespräch annimmt, oder um den Anrufer darüber zu informieren, dass sein Gesprächspartner auf «annehmen» geklickt hat.

Der Bug erlaubt es nun allerdings, dem Empfängergerät bei einem Anruf direkt eine Nachricht mitzusenden, die dem Empfängergerät die Annahme des Gesprächs signalisiert. Wie Project Zero schreibt, handelt es sich dabei um einen Logikfehler im Code, der bisher schlicht nicht berücksichtigt wurde.

Kein Ausspähen über Video-Calls möglich

Solange der Audio-Anruf nicht beendet wird, hat der Angreifer also die Möglichkeit, den Rezipienten zu belauschen. Eine Videoübertragung könne hingegen nicht vom Anrufer gestartet werden, so Google, da diese stets manuell aktiviert werden müsse.
Der beschriebene Logikfehler besteht dem Blogeintrag zufolge auch unter iOS. Hier führe jedoch ein Fehler in der Benutzeroberfläche des Geräts dazu, dass der Angriff nicht erfolgreich durchgeführt werden könne.

Project Zero stellt ferner einen Code bereit, den Android-Nutzer zur Abdichtung der Lücke verwenden können. Die alternative und etwas einfachere Methode ist jedoch, sich das von Signal bereitgestellte Update aufzuspielen.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.