Netzwelt

Sicherheitslücke in Android-App

Darum sollten Signal-Nutzer jetzt updaten

Eine Google-Sicherheitsforscherin hat eine Schwachstelle in der Android-Variante von Signal entdeckt: Sie bot Angreifern die Chance, andere Nutzer des Messengers abzuhören. Ein App-Update beseitigt den Fehler.

Wolfram Kastl / DPA

Messenger Signal: Unter Android am besten zeitnah updaten

Montag, 07.10.2019   17:09 Uhr

Nutzer der Android-Version von Signal sollten darauf achten, dass sie die aktuelle Version der Software verwenden. In der Messenger-App klaffte nämlich bis vor Kurzem eine Sicherheitslücke, über die Angreifer Smartphone-Besitzer im schlimmsten Fall unbemerkt abhören können. Das hat Natalie Silvanovich von Googles Hackerteam Project Zero öffentlich gemacht.

Laut dem Bericht der Sicherheitsforscherin konnten Angreifer, die das Problem kannten und wussten, wie man es mithilfe eines modifizierten App-Clients ausnutzt, über Signal einen Anruf auslösen und der Anwendung dabei auch gleich vorgaukeln, dass der oder die Angerufene abgenommen hatte. Aufgrund der Lücke akzeptierte die Android-Variante der App dieses Vorgehen, schaltete die Leitung frei, und der Angreifer konnte sein Opfer belauschen.

Übertragen wurde dabei nur Sound, heißt es, die Videokamera wurde nicht aktiviert. Erfolg versprach der Angriff aber allenfalls, wenn der Anrufempfänger den Anruf nicht gehört oder sein Gerät lautlos gestellt hatte.

Geschützt ist Signal ab der Version 4.47.7

Inzwischen ist ein App-Update veröffentlicht worden, mit dem die Schwachstelle beseitigt worden ist. Die geschützte Version von Signal ist an der Versionsnummer 4.47.7 zu erkennen. Android-Nutzer sollten in der Signal-App sicherheitshalber unter "Einstellungen/Weitere Einstellungen" prüfen, ob auf ihrem Smartphone bereits die überarbeitete Version installiert ist. Ist dies nicht der Fall, sollten sie über Googles Play Store die neue Version einspielen.

Auf iOS ließ sich die Lücke anders als auf Android nicht ausnutzen, schreibt Natalie Silvanovich. Der Versuch führe zu einem Problem auf der Benutzeroberfläche, der Anruf des Angreifers werde nicht durchgestellt. Sie empfehle den Signal-Machern vor diesem Hintergrund aber auch eine Überarbeitung der iOS-Version, schreibt die Sicherheitsexpertin.

Ein wenig erinnert die Lücke ohnehin an ein Sicherheitsproblem, das Anfang des Jahres iOS-Nutzer umtrieb. Damals war ein Fehler in Apples Videochat-Software FaceTime bekannt geworden. Die Schwachstelle hatte es Anrufern ermöglicht, einen Angerufenen zu hören, noch bevor dieser den Anruf annahm.

mbö/dpa

insgesamt 1 Beitrag
Nils Melzer 07.10.2019
1. WhatsApp Nutzer auch
Am Besten zu Conversations (Android) oder ChatSecure (iOS). E2E auch im Gruppenchat, und ohne zentrale Server als Honigtopf für Konzerne und Geheimdienste. Gut zu wissen für (z.B.) Lehrer und andere Geheimnisträger: [...]
Am Besten zu Conversations (Android) oder ChatSecure (iOS). E2E auch im Gruppenchat, und ohne zentrale Server als Honigtopf für Konzerne und Geheimdienste. Gut zu wissen für (z.B.) Lehrer und andere Geheimnisträger: https://im-schule.de/fuer-lehrer

Verwandte Themen

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung

TOP