Sicherheitsforscher haben gleich mehrere Lücken in der Desktop-App des Messengers Signal entdeckt. Ein Fehler ermöglichte das Auslesen von Chats im Klartext. Betroffen ist die Versionen der Signal-Desktop-App vor 1.11. Wer den Chat-Messenger Signal am Computer nutzt, sollte das Programm aktualisieren.
Ein System gilt so lange als sicher, bis ein Fehler entdeckt wird, der diese Sicherheit beeinträchtigt. Mit einfachen Nachrichten konnte ein Angreifer HTML-Code in die Desktop-App des verschlüsselnden Messengers einschleusen und damit sogar alle Nachrichten seines Opfers auslesen. Der Angreifer braucht dabei nur den Code an jemanden per Chat zu schicken. Das berichtet der Entdecker der Lücke in seinem Blog. Angreifer können unter anderem die App abstürzen lassen. Die aktuelle Version 1.11 beseitigt diese Lücken. Die Smartphone-Versionen sind nicht betroffen. Das berichtet das Tech-Portal „heise Security“ am Freitag.
Die Entdecker der Lücke kontaktierten zunächst die Signal-Entwickler. Diese reagierten sehr schnell und haben eine aktualisierte Versionen bereitgestellt. Nach kurzer Zeit stellte sich aber heraus: Das gleiche Problem betrifft auch andere Funktionen der App. So mussten die Entwickler nachbessern.
Der Entdecker der zweiten Lücke dokumentiert, dass die Entwickler der App für die Darstellung von zitiertem Text offenbar die Methode dangerouslySetInnerHTML des React-Frameworks eingesetzt haben, deren Name ganz offensichtlich ernst gemeint ist. Da sich die Berichte über Sicherheitsprobleme häufen, sollte man darüber nachdenken, auf den Einsatz der Desktop-App von Signal zumindest in Szenarien mit höchsten Schutzanforderungen zu verzichten, bis etwa ein Code-Review bescheinigt, dass sie zumindest keine groben Patzer mehr enthält, rät heise Security.
Der Fehler wurde von den Entwicklern allerdings schon erkannt, bevor sie von Sicherheitsforschern darauf hingewiesen wurden. Ebenso wurde der Fehler mit Version 1.11.0 für Windows, macOS und Linux behoben. Durch den Auto-Update-Mechanismus von Signal Desktop sollten demnach die meisten Nutzer schon wieder mit einer sicheren Version unterwegs sein. Ob die Lücke aktiv ausgenutzt wurde, ist nicht bekannt, aber wohl eher unwahrscheinlich, berichtet Caschys Blog
Signal gilt als sichere Alternative zu WhatsApp. Das Programm gibt es auf dem Smartphone für Android und iOS, auf dem Desktopf für Windows, MacOS und Linux. Unter anderem empfiehlt Whistleblower Edward Snowden den Messenger. Grund: Signal sammelt beispielsweise weniger Daten als WhatsApp. Der Messenger wird unter anderem durch private Spenden unterstützt und muss sich nicht gegenüber Aktionären verantworten. Der Quellcode ist Open Source, das heißt für alle Nutzer einsehbar – anders als bei WhatsApp oder Messengern wie Telegram.
Sowohl WhatsApp als auch Signal verschlüsseln Ende-zu-Ende. Das heißt, dass nur Chat-Partner Nachrichten lesen können. Wie aber im April bekannt wurde, kann Facebook auf dem iPhone theoretisch WhatsApp-Chats auslesen. Das berichtet Gregorio Zanon, Entwickler eines Mac-Tools zur Verwaltung von iPhone-Daten.
Das ist möglich, wenn Facebook ebenfalls auf dem Gerät installiert ist. Da sich beide Apps einen Order teilen, hätte Facebook entsprechend Zugriff auf WhatsApp-Dateien. Zanon schreibt in seinem Beitrag aber mehrfach, dass das nur technisch möglich sei. Er behaupte nicht, dass Facebook in der Vergangenheit Chats ausgelesen hat oder es derzeit tut, berichtet T-Online.de
Quelle; tarnkappe
Ein System gilt so lange als sicher, bis ein Fehler entdeckt wird, der diese Sicherheit beeinträchtigt. Mit einfachen Nachrichten konnte ein Angreifer HTML-Code in die Desktop-App des verschlüsselnden Messengers einschleusen und damit sogar alle Nachrichten seines Opfers auslesen. Der Angreifer braucht dabei nur den Code an jemanden per Chat zu schicken. Das berichtet der Entdecker der Lücke in seinem Blog. Angreifer können unter anderem die App abstürzen lassen. Die aktuelle Version 1.11 beseitigt diese Lücken. Die Smartphone-Versionen sind nicht betroffen. Das berichtet das Tech-Portal „heise Security“ am Freitag.
Die Entdecker der Lücke kontaktierten zunächst die Signal-Entwickler. Diese reagierten sehr schnell und haben eine aktualisierte Versionen bereitgestellt. Nach kurzer Zeit stellte sich aber heraus: Das gleiche Problem betrifft auch andere Funktionen der App. So mussten die Entwickler nachbessern.
Der Entdecker der zweiten Lücke dokumentiert, dass die Entwickler der App für die Darstellung von zitiertem Text offenbar die Methode dangerouslySetInnerHTML des React-Frameworks eingesetzt haben, deren Name ganz offensichtlich ernst gemeint ist. Da sich die Berichte über Sicherheitsprobleme häufen, sollte man darüber nachdenken, auf den Einsatz der Desktop-App von Signal zumindest in Szenarien mit höchsten Schutzanforderungen zu verzichten, bis etwa ein Code-Review bescheinigt, dass sie zumindest keine groben Patzer mehr enthält, rät heise Security.
Der Fehler wurde von den Entwicklern allerdings schon erkannt, bevor sie von Sicherheitsforschern darauf hingewiesen wurden. Ebenso wurde der Fehler mit Version 1.11.0 für Windows, macOS und Linux behoben. Durch den Auto-Update-Mechanismus von Signal Desktop sollten demnach die meisten Nutzer schon wieder mit einer sicheren Version unterwegs sein. Ob die Lücke aktiv ausgenutzt wurde, ist nicht bekannt, aber wohl eher unwahrscheinlich, berichtet Caschys Blog
Signal gilt als sichere Alternative zu WhatsApp. Das Programm gibt es auf dem Smartphone für Android und iOS, auf dem Desktopf für Windows, MacOS und Linux. Unter anderem empfiehlt Whistleblower Edward Snowden den Messenger. Grund: Signal sammelt beispielsweise weniger Daten als WhatsApp. Der Messenger wird unter anderem durch private Spenden unterstützt und muss sich nicht gegenüber Aktionären verantworten. Der Quellcode ist Open Source, das heißt für alle Nutzer einsehbar – anders als bei WhatsApp oder Messengern wie Telegram.
Sowohl WhatsApp als auch Signal verschlüsseln Ende-zu-Ende. Das heißt, dass nur Chat-Partner Nachrichten lesen können. Wie aber im April bekannt wurde, kann Facebook auf dem iPhone theoretisch WhatsApp-Chats auslesen. Das berichtet Gregorio Zanon, Entwickler eines Mac-Tools zur Verwaltung von iPhone-Daten.
Das ist möglich, wenn Facebook ebenfalls auf dem Gerät installiert ist. Da sich beide Apps einen Order teilen, hätte Facebook entsprechend Zugriff auf WhatsApp-Dateien. Zanon schreibt in seinem Beitrag aber mehrfach, dass das nur technisch möglich sei. Er behaupte nicht, dass Facebook in der Vergangenheit Chats ausgelesen hat oder es derzeit tut, berichtet T-Online.de
Quelle; tarnkappe
