{"id":223328,"date":"2019-10-08T09:28:09","date_gmt":"2019-10-08T07:28:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=223328"},"modified":"2024-08-23T22:29:50","modified_gmt":"2024-08-23T20:29:50","slug":"schwachstelle-bei-signal-messenger-fr-android","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/08\/schwachstelle-bei-signal-messenger-fr-android\/","title":{"rendered":"Schwachstelle bei Signal-Messenger f&uuml;r Android"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>In der Android-App des Signal-Messenger gibt es ein Sicherheitsprobleme. Die Schwachstelle f\u00fchrt dazu, dass Sprachanrufe ohne Nutzerinteraktion m\u00f6glich sein und Nutzer belauscht werden k\u00f6nnen. Es gibt aber ein Update der App, um dieses Problem zu beheben. EU-Abgeordneten ist die Benutzung des Signal-Messenger aus 'Sicherheitsgr\u00fcnden' untersagt.<\/p>\n<p><!--more--><\/p>\n<p>Es wird aktuell eng mit Messengern \u2013 WhatsApp kann eigentlich nicht mehr im gesch\u00e4ftlichen Umfeld genutzt werden, da Facebook als Eigent\u00fcmer sich nicht um DSGVO-Belange schert. Und der Signal-Messenger hat eine gravierende Schwachstelle, die inzwischen aber per Update behoben ist.<\/p>\n<h2>Sicherheitsl\u00fccke in der Messenger-App Signal<\/h2>\n<p>Die Sicherheitsforscherin Natalie Silvanovich von Googles Project Zero hat eine Schwachstelle in der Android-App des Signal Messengers <a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=1943\" target=\"_blank\" rel=\"noopener noreferrer\">publik gemacht<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Logic bug in Signal that allowed a caller to force a call to be answered without user interaction<a href=\"https:\/\/t.co\/sX91qKWrNe\">https:\/\/t.co\/sX91qKWrNe<\/a><\/p>\n<p>\u2014 Natalie Silvanovich (@natashenka) <a href=\"https:\/\/twitter.com\/natashenka\/status\/1180211208999198720?ref_src=twsrc%5Etfw\">October 4, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Auf der Chromium-Bugs-Seite hat Silvanovich weitere Details zur Schwachstelle ver\u00f6ffentlicht.<\/p>\n<blockquote><p>There is a logic error in Signal that can cause an incoming call to be answered even if the callee does not pick it up.<\/p>\n<p>In the Android client, there is a method handleCallConnected that causes the call to finish connecting. During normal use, it is called in two situations: when callee device accepts the call when the user selects 'accept', and when the caller device receives an incoming \"connect\" message indicating that the callee has accepted the call. Using a modified client, it is possible to send the \"connect\" message to a callee device when an incoming call is in progress, but has not yet been accepted by the user. This causes the call to be answered, even though the user has not interacted with the device. The connected call will only be an audio call, as the user needs to manually enable video in all calls. The iOS client has a similar logical problem, but the call is not completed due to an error in the UI caused by the unexpected sequence of states. I would recommend improving the logic in both clients, as it is possible the UI problem doesn't occur in all situations.<\/p><\/blockquote>\n<p>Durch einen Logikfehler kann die Signal-App Anrufe annehmen, ohne dass der Benutzer diese annimmt. Dadurch wird nat\u00fcrlich auch das Mikrofon des Ger\u00e4ts aktiviert und der Anrufende kann \u00fcber das Ger\u00e4t lauschen. Bei Videoanrufen klappt dies nicht, da muss der Nutzer den Anruf annehmen. Bei Interesse lassen sich <a href=\"https:\/\/www.heise.de\/security\/meldung\/Grosser-Lausch-Anruf-Signal-fuer-Android-nimmt-selbsttaetig-Anrufe-an-4546500.html\" target=\"_blank\" rel=\"noopener noreferrer\">bei heise einige Details nachlesen<\/a>.<\/p>\n<h2>Update f\u00fcr Android verf\u00fcgbar<\/h2>\n<p>Die Entwickler haben inzwischen ein Update f\u00fcr die Android-Signal-App im <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=org.thoughtcrime.securesms&amp;hl=de\" target=\"_blank\" rel=\"noopener noreferrer\">Google Play Store<\/a> freigegeben, das diesen Fehler behebt. Wer den Signal-Messenger verwendet, sollte die App also aktualisieren.<\/p>\n<h2>Posse um Signal im EU-Parlament<\/h2>\n<p>Eine Meldung von heise vom gestrigen Tage entnehme ich, dass die IT-Abteilung des EU-Parlaments es untersagt Abgeordneten, die Desktop-App des Messengers Signal zu verwenden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\">Messenger Signal f\u00fcr EU-Abgeordnete untersagt <a href=\"https:\/\/t.co\/FBlXuFDwG7\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/t.co\/FBlXuFDwG7<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/EUParlament?src=hash&amp;ref_src=twsrc%5Etfw\">#EUParlament<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Facebook?src=hash&amp;ref_src=twsrc%5Etfw\">#Facebook<\/a><\/p>\n<p>\u2014 heise online (@heiseonline) <a href=\"https:\/\/twitter.com\/heiseonline\/status\/1181229222540533760?ref_src=twsrc%5Etfw\">October 7, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Eine entsprechende Bitte der Linksfraktion wurde abgelehnt. Stattdessen sollen sie die Web-Version von WhatsApp benutzen, wie <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Messenger-Signal-fuer-EU-Abgeordnete-untersagt-4547528.html\" target=\"_blank\" rel=\"noopener noreferrer\">heise hier<\/a> schreibt. Netzpolitik.org, die das <a href=\"https:\/\/netzpolitik.org\/2019\/eu-parlament-verwehrt-abgeordneten-die-installation-des-messengers-signal\/\" target=\"_blank\" rel=\"noopener noreferrer\">Thema hier<\/a> aufgegriffen hat, f\u00fchrt Sicherheitsgr\u00fcnde f\u00fcr die Entscheidung der IT an und zitiert den IT-Support.: \"Signal ist keine Standardsoftware im Europ\u00e4ischen Parlament und kann nicht installiert werden, ohne dass es vom Sicherheitsdienst und dem Standardkonfigurationsteam getestet und zugelassen wird. Wir empfehlen ihnen, WhatsApp zu verwenden, das ebenfalls Ende-zu-Ende-sichere Kommunikation mit Leuten innerhalb und au\u00dferhalb des EP [Europ\u00e4isches Parlament] erlaubt.\"<\/p>\n<p>Hat ein St\u00fcck von Real-Satire, ist doch WhatsApp wegen der DSGVO-Thematik in Firmen und sensitiven Bereichen nicht einsetzbar. Edward Snowden empfiehlt aus Sicherheitsgr\u00fcnden sogar den Signal-Messenger, weil dieser als hoch sicher gilt und Staaten eher keinen Zugriff auf die Nachrichten und Kontakte erhalten. Erg\u00e4nzung: Nett ist auch die gerade <a href=\"https:\/\/www.heise.de\/security\/meldung\/WhatsApp-fuer-Android-Luecke-erlaubte-Fernzugriff-ueber-manipulierte-Bilddateien-4546958.html\" target=\"_blank\" rel=\"noopener noreferrer\">auf heise gemeldete Sicherheitsl\u00fccke<\/a> in WhatsApp, die einen Fernzugriff per Bilddatei auf nicht aktualisierten Ger\u00e4ten betrifft.<\/p>\n<p><strong>\u00c4hnliche Artikel<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/11\/17\/whatsapp-dsgvo-widerspruch-uns-doch-egal\/\">WhatsApp: DSGVO-Widerspruch? Uns doch egal \u2026<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20231206113952\/https:\/\/borncity.com\/blog\/2019\/08\/12\/sicherheit-whatsapp-nachrichten-manipulierbar\/\">Sicherheit: WhatsApp-Nachrichten manipulierbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/14\/whatsapp-schwachstelle-cve-2019-3568-update-erforderlich\/\">WhatsApp Schwachstelle CVE-2019-3568: Update erforderlich<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/04\/19\/android-schwachstelle-trojaner-liest-whatsapp-mit\/\">Android-Schwachstelle: Trojaner liest WhatsApp mit<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In der Android-App des Signal-Messenger gibt es ein Sicherheitsprobleme. Die Schwachstelle f\u00fchrt dazu, dass Sprachanrufe ohne Nutzerinteraktion m\u00f6glich sein und Nutzer belauscht werden k\u00f6nnen. Es gibt aber ein Update der App, um dieses Problem zu beheben. EU-Abgeordneten ist die Benutzung &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/10\/08\/schwachstelle-bei-signal-messenger-fr-android\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,1440,426],"tags":[4308,4346,4328],"class_list":["post-223328","post","type-post","status-publish","format-standard","hentry","category-android","category-app","category-sicherheit","tag-android","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223328","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=223328"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223328\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=223328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=223328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=223328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}