Schwachstelle bei Signal-Messenger für Android

In der Android-App des Signal-Messenger gibt es ein Sicherheitsprobleme. Die Schwachstelle führt dazu, dass Sprachanrufe ohne Nutzerinteraktion möglich sein und Nutzer belauscht werden können. Es gibt aber ein Update der App, um dieses Problem zu beheben. EU-Abgeordneten ist die Benutzung des Signal-Messenger aus 'Sicherheitsgründen' untersagt.


Anzeige

Es wird aktuell eng mit Messengern – WhatsApp kann eigentlich nicht mehr im geschäftlichen Umfeld genutzt werden, da Facebook als Eigentümer sich nicht um DSGVO-Belange schert. Und der Signal-Messenger hat eine gravierende Schwachstelle, die inzwischen aber per Update behoben ist.

Sicherheitslücke in der Messenger-App Signal

Die Sicherheitsforscherin Natalie Silvanovich von Googles Project Zero hat eine Schwachstelle in der Android-App des Signal Messengers publik gemacht.

Auf der Chromium-Bugs-Seite hat Silvanovich weitere Details zur Schwachstelle veröffentlicht.

There is a logic error in Signal that can cause an incoming call to be answered even if the callee does not pick it up.

In the Android client, there is a method handleCallConnected that causes the call to finish connecting. During normal use, it is called in two situations: when callee device accepts the call when the user selects 'accept', and when the caller device receives an incoming "connect" message indicating that the callee has accepted the call. Using a modified client, it is possible to send the "connect" message to a callee device when an incoming call is in progress, but has not yet been accepted by the user. This causes the call to be answered, even though the user has not interacted with the device. The connected call will only be an audio call, as the user needs to manually enable video in all calls. The iOS client has a similar logical problem, but the call is not completed due to an error in the UI caused by the unexpected sequence of states. I would recommend improving the logic in both clients, as it is possible the UI problem doesn't occur in all situations.

Durch einen Logikfehler kann die Signal-App Anrufe annehmen, ohne dass der Benutzer diese annimmt. Dadurch wird natürlich auch das Mikrofon des Geräts aktiviert und der Anrufende kann über das Gerät lauschen. Bei Videoanrufen klappt dies nicht, da muss der Nutzer den Anruf annehmen. Bei Interesse lassen sich bei heise einige Details nachlesen.

Update für Android verfügbar

Die Entwickler haben inzwischen ein Update für die Android-Signal-App im Google Play Store freigegeben, das diesen Fehler behebt. Wer den Signal-Messenger verwendet, sollte die App also aktualisieren.

Posse um Signal im EU-Parlament

Eine Meldung von heise vom gestrigen Tage entnehme ich, dass die IT-Abteilung des EU-Parlaments es untersagt Abgeordneten, die Desktop-App des Messengers Signal zu verwenden.


Anzeige

Eine entsprechende Bitte der Linksfraktion wurde abgelehnt. Stattdessen sollen sie die Web-Version von WhatsApp benutzen, wie heise hier schreibt. Netzpolitik.org, die das Thema hier aufgegriffen hat, führt Sicherheitsgründe für die Entscheidung der IT an und zitiert den IT-Support.: "Signal ist keine Standardsoftware im Europäischen Parlament und kann nicht installiert werden, ohne dass es vom Sicherheitsdienst und dem Standardkonfigurationsteam getestet und zugelassen wird. Wir empfehlen ihnen, WhatsApp zu verwenden, das ebenfalls Ende-zu-Ende-sichere Kommunikation mit Leuten innerhalb und außerhalb des EP [Europäisches Parlament] erlaubt."

Hat ein Stück von Real-Satire, ist doch WhatsApp wegen der DSGVO-Thematik in Firmen und sensitiven Bereichen nicht einsetzbar. Edward Snowden empfiehlt aus Sicherheitsgründen sogar den Signal-Messenger, weil dieser als hoch sicher gilt und Staaten eher keinen Zugriff auf die Nachrichten und Kontakte erhalten. Ergänzung: Nett ist auch die gerade auf heise gemeldete Sicherheitslücke in WhatsApp, die einen Fernzugriff per Bilddatei auf nicht aktualisierten Geräten betrifft.

Ähnliche Artikel
WhatsApp: DSGVO-Widerspruch? Uns doch egal …
Sicherheit: WhatsApp-Nachrichten manipulierbar
WhatsApp Schwachstelle CVE-2019-3568: Update erforderlich
Android-Schwachstelle: Trojaner liest WhatsApp mit


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Schwachstelle bei Signal-Messenger für Android

  1. Holger sagt:

    Was ein Update für Android angeht, mit dem diese Sicherheitslücke gefixt werden soll, habe ich bisher immer noch keine neuere Version als 4.47.7 gefunden und diese ist vom 28.09. Erstmals gemeldet wurde die Sicherheitslücke am 04.10.

  2. Holger sagt:

    Laut https://github.com/signalapp/Signal-Android/releases/tag/v4.48.13
    ist die Version mit dem Sicherheitsfix 4.48.13. Weshalb ist dann in Google Play immer noch diese neue Version nicht verfügbar?
    Wer pennt da, Google oder andere?

Schreibe einen Kommentar zu Holger Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.