Patch für Android verfügbar
07.10.2019, 09:22 Uhr
Sicherheitslücke in Signal ermöglicht Lauschangriff
Signal-Nutzer können mittels einfachem Anruf belauscht werden. Ein Logikfehler im Code des Messengers lässt dies im Android-Client zu. Betroffene Anwender sollten schnellstmöglich das bereitgestellte Update installieren.
Forscher aus Googles Project Zero haben eine Sicherheitslücke im Messenger Signal entdeckt, die ein heimliches Belauschen von Nutzern ermöglicht. Der Fehler befindet sich im Android-Client des Messengers. Ein Anrufer kann hier das Gerät des Empfängers ohne Interaktion des Rezipienten zur Annahme eines Gesprächs zwingen.
Die Sicherheitsexperten beschreiben die Lücke auf dem Project-Zero-Blog genauer: Demnach basiert das Leck auf der sogenannten handleCallConnection des Android-Clients von Signal. Diese Methode wird laut Blogeintrag für gewöhnlich in zwei Situationen angewandt. Entweder, wenn der Angerufene das Gespräch annimmt, oder um den Anrufer darüber zu informieren, dass sein Gesprächspartner auf "annehmen" geklickt hat.
Der Bug erlaubt es nun allerdings, dem Empfängergerät bei einem Anruf direkt eine Nachricht mitzusenden, die dem Empfängergerät die Annahme des Gesprächs signalisiert. Wie Project Zero schreibt, handelt es sich dabei um einen Logikfehler im Code, der bisher schlicht nicht berücksichtigt wurde.