Sicherheitsforscher kritisieren Signal
von caschy | 26 Kommentare
Sicherheitsforscher kritisieren die Desktop-App für den Signal Messenger auf dem Mac. Zum Test kopierte ein Sicherheitsforscher und iOS-Entwickler mittels Script seine Datenbank und die Signal-Daten mit den ganzen Nachrichten in eine virtuelle Maschine. Dort hat er festgestellt, dass direkt der Zugriff auf alle Inhalte bestand, die verschlüsselte Datenbank und der Verschlüsselungsschlüssel werden nämlich direkt nebeneinander gespeichert. Der Ordner ist für jede auf dem Mac ausgeführte App zugänglich.
Nachrichten wurden im Test entweder an den Mac oder an die VM übermittelt. Das iPhone des Entwicklers hat alle Nachrichten empfangen. Alle drei Sitzungen waren aktiv und gültig, so die Aussage des Sicherheitsforschers. Signal hat den Nutzer nicht vor der Existenz der dritten Sitzung gewarnt (die geklont wurde). Außerdem zeigte Signal auf dem iPhone immer nur noch ein verknüpftes Gerät an.
This video shows that @signalapp (7.15.0) on macOS stores photos and docs sent through the app locally without encryption. Worse, the files are stored in a location accessible by any app or script. However, text messages are stored locally in an encrypted DB.#privacy #security pic.twitter.com/vDNQ3bwLGs
— Mysk ???? (@mysk_co) July 5, 2024
Es wird argumentiert, dass eine bösartige App, die auf dem Opfer-Mac entsprechende Rechte hat, die Daten kopieren und an den Angreifer schicken kann – der dann wiederum Zugriff auf die Nachrichten hat. Bislang gibt es kein Statement von Signal. Euch kommt die Geschichte bekannt vor? Gut möglich, bereits 2018 und 2022 gab es die Kritik an Signal. Bei ähnlichen Fällen wird oft argumentiert, dass, wenn eine schädliche App schon Zugriff auf den Mac hat, man ganz andere Probleme habe.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
So ein Clickbait bin ich hier gar nicht gewohnt. Hätte Mac nicht noch in den Titel gepasst?
Der Key und die Fotos liegen auch unter Linux (und Windows) so da.
Seh ich auch so. Nur am Mac. Also nicht die App am Smartphone was die meisten nutzen.
öhm, sorry, aber was ist daran neu? Wenn ich ein neues Gerät unter Windows einrichte, kopiere ich immer von einem anderen Gerät den ganzen Signal-Ordner im %Appdata% und füge ihn an gleicher Stelle am neuen Gerät wieder ein. Danach noch in der App den Zugriff für das alte Gerät deaktivieren und auf beiden Geräten erneut aktivieren. So habe ich immerhin alle alten Chats in der neuen Desktop-App drin. Nix Neues, war am Anfang sogar noch wesentlich komplizierter als jetzt.
Was ich da oben lese ist kein aktivieren notwendig…praktisch nur ein Copy und schon kann mitgelesen werden. Was tatsächlich ein armseliger Schutz wäre.
Ich kann vielleicht noch präzisieren. Das, was oben beschrieben wird, kannst du damit 1:1 nachstellen, wenn du dich nicht abmeldest auf dem Phone für das entsprechende Gerät. Der Chat kommt dann entweder auf dem Alten, oder dem Neuen an. Ich wollte das Ganze mal so mittels Cloud Sync betreiben, ging aber leider nicht.
Ok, mit einem frisch eingerichteten Linux Gerät kann ich das nachvollziehen.
Ich habe Signal installiert, aber noch nicht gestartet. Es gab noch keinen Config Ordner (/var/app/…). Kopiere ich den Signal Ordner von meinem zweiten Linux-Gerät, kann ich ohne weitere Nachfrage oder *ohne Aktivierung* auf meinen bisherigen Chat-Verlauf zugreifen.
Die Signal Instanz auf dem bisherigen Gerät läuft bisher ohne Probleme weiter. Auf dem neuen Gerät sieht man nur die alten Nachrichten. Neue Nachrichten kommen nur auf dem autorisierten älteren Gerät an.
Signal ist auf dem neuen Gerät in einem nicht aktiv nutzbaren Zustand. Ich habe noch keine Möglichkeit gefunden, das Gerät für den Empfang von Messages zu aktivieren. Die Signal App zeigtt die Daten des alten Geräts an, aber es scheint ein Aktivierungs-Token zu fehlen.
Mein Fazit: Signal Desktop ist ein großes Sicherheitsrisiko für Menschen, die sehr vertrauliche Daten über Signal austauschen. Oder deren Leben davon abhängt, dass ihre Signal Kommunikation nicht gelesen werden kann. Solange sich eine Person (Admin) Zugriff auf den Speicherordner von Signal verschaffen kann, ist die Chat-Historie lesbar. Als zusätzliche Sicherheitsebene muss man also mindestens das Nutzerverzeichnis verschlüsseln, besser noch auf die Desktop App verzcihten.
Das ist eine Electron App. Wundert es jemanden, dass dieses zusammengefrickelte Ding Sicherheitsprobleme hat?
So sehr ich Signal schätze, deren Desktop App ist fürchterlich langsam und das UI ein Fremdkörper auf dem Mac. Wenn das Signal Team wenigstens 3rd Party Apps tolerieren würde…
Das hier dargestellte „Problem“ hat nichts mit Electron zu tun und würde bei gleicher Konzeption auch auf jedes andere Framework/native App zutreffen…
Mag ja sein, dass es so weit erst Mal kommen muss, aber ganz ehrlich, unter macOS ist’s doch wirklich denkbar einfach das Problem zu lösen. Passwort in den Schlüsselbund und fertig. Windows verfügt mWn bis heute nicht über ein solches Konzept.
Ein offensichtlich nicht verwendetes Passwort für unverschlüsselt gespeicherte Fotos und Dokumente in einem Schlüsselbund speichern? Das ist richtig, über so ein Konzept verfügt Windows nicht.
„[…] verschlüsselte Datenbank und der Verschlüsselungsschlüssel werden nämlich direkt nebeneinander gespeichert.[..]“
Ist offensichtlich doch verschlüsselt. Also bitte erst lesen, dann rumpimmeln.
„[…] This video shows that @signalapp (7.15.0) on macOS stores photos and docs sent through the app locally without encryption.[…]“
Rumpimmeln? Das ist Dein Niveau? Also bitte erst lesen, dann verstehen.
Bei deinem mangelhaften Leseverständnis ja.
„[…] However, text messages are stored locally in an encrypted DB.“
Man sollte schon in der Lage sein, einen so kurzen Text auch bis zum Ende lesen zu können
Sag mal, willst Du es nicht verstehen? Ja, die Text-Nachrichten werden verschlüsselt gespeichert (mit dem Schlüssel direkt daneben), aber nicht die Fotos und Dokumente, die liegen UNVERSCHLÜSSELT im Ordner.
Wenn Du also den dort gespeicherten Schlüssel in irgendeinen Schlüsselbund verschiebst, löst es das Problem der unverschlüsselten Fotos und Dokumente nicht. Nichts anderes habe ich in meinem ersten Kommentar geschrieben.
Das einzige, was ich nicht verstehen will, ist wie du deinen Whataboutism nicht sehen willst. Darum ging es weder im Artikel, noch in meinem Post. Es geht darum, dass die Sitzung einfach geklont werden kann und dass selbst die verschlüsselten Daten ungeschützt sind, weil der Schlüssel direkt neben der Datenbank liegt. Daher ist es völlig irrelevant, dass die Fotos und Dokumente unverschlüsselt sind, da der Schutz auch mit Verschlüsselung nicht vorhanden wäre. Dazu kommt eben erschwerend, dass jede App auf die Daten zugreifen kann.
Würde man den Schlüssel der Datenbank in den Keyring aufnehmen – dies ist das Konzept, welches Windows nicht kennt – wären die Daten in der Datenbank tatsächlich abgesichert, und dann kann man auch argumentieren, dass für die Fotos und Dokumente ebenfalls eine geeignete Lösung gefunden werden sollte. Sie als base64 in die Datenbank zu schmeißen kann kaum eine angebrachte Lösung sein.
Die Headline „Sicherheitsforscher kritisieren Signal“ finde ich hier schon sehr allgemein. „Kopierte … mittels Script seine Datenbank und die Signal-Daten mit den ganzen Nachrichten in eine virtuelle Maschine (auf dem Mac)“.
Klingt so nach „Verkehrsforscher warnen vor Bahn“, weil „ein Fahrgast seinen Koffer auf einen Güterzug warf und ein chinesischer Kofferträger ihn bei Vollmond nicht dem griechischen Taxifahrer auf das Dach werden konnte“.
Was Du zitierst ist doch lediglich der Weg, über den jemand das Problem entdeckt hat. Es nachzustellen ist so trivial dass die Erklärung in drei Zeilen passt.
Das Problem ist selbstverständlich weder, dass hier ein Script verwendet wurde, noch, dass hier eine VM zum Einsatz kam.
Genauso gut könnte im Artikel stehen: Gib den Speicherordner per Dropbox frei und synchronisiere ihn auf einen anderen Rechner, dann brauchst Du auf dem Zielrechner kein Passwort weil das mit synchronisiert wird.
Was genau das Problem ist, wird im Artikel durch „Dort hat er festgestellt, dass“ eingeleitet.
Und das ist das Problem:
* Dass das Passwort zum entschlüsseln neben den verschlüsselten Daten liegt,
* dadurch entsteht Zugriff auf die Chat-History,
* dadurch bekommt man in Zukunft (mit einer gewissen Wahrscheinlichkeit) neue Nachrichten zugestellt
* und der Accountinhaber sieht nicht mal, dass hier ein zusätzliches Client-Device eingebucht ist.
* Alles was dafür notwendig ist, ist Dateizugang zu einem einzigen Client-Device.
Aber zugegeben: Man hätte die Headline auch weniger allgemein schreiben können. „Sicherheitsforscher erlangt Zugriff zu verschlüsselten Signal-Unterhaltungen und kann sogar zukünftige Unterhaltungen einsehen“ wäre ja viel mehr das was hier passiert.
ich denke, man hat ganz andere Probleme, wenn eine schädliche App Zugriff auf den Mac hat…
Wenn das System kompromittiert ist, auf dem die App läuft, dann gibt’s auf dem System keine Sicherheit.
Das ist ja nur eine App, kein Zaubermittel oder so.
Es ist immer wieder die gleiche unsinnige Erklärung . Würdest du auch sagen, wenn eine Einbrecher schon deine Autotüre aufgebrochen hat, hat man ganz andere Probleme. dann kann man auch gleich auf eine Wegfahrsperre verzichten. Das ergibt doch keinen Sinn.
Du kannst dir jederzeit durch eine Lücke im Browser, Unaufmerksamkeit etc eine malware auf den Rechner holen. Solange du nicht fahrlässigerweise mit Admin-Rechten unterwegs bist, kann man anschließend die Auswirkungen begrenzen. Beispiel: Wurde früher wurde bei solchen Vorfällen die ganze Connection-Datenbank von FileZilla gestohlen, ist die jetzt verschlüsselt und somit können die Daten nicht abgefischt werden.
Für Menschen die in Diktaturen leben ist es wichtig, dass die Signal Chats verschlüsselt bleiben. Wenn ich mir aber bei einem Angriff die unverschlüsselte Datenbank klauen kann, ist der ganze Verschlüsselungsaufwand sinnlos. Da die Signal Webseite gar nicht auf diese Lücke hinweist, ist das für manche Menschen sehr gefährlich. Nebenbei erlaubt diese Lücke auch Admin Nutzern sich die Daten aus dem Nutzerordner zu klauen.
Signal wurde mit starkem Fokus auf sichere Kommunikation, auch in lebensgefährlichem Umfeld, entwickelt. Eine solche App muss daher sicher konzipiert sein. Hier geht es nicht um „Zaubermittel“, sondern um Sicherheitsstandards.
Warum ist es nicht gesandboxed wie iMessage?
Signal ist völlig überbewertet, seit einer historischen Äußerung von Snowden.
Da lobe ich mir doch Whatsup aus dem Hause Zuckerberg: Dort ist alles E2E-verschlüsselt!!
und wer hat bei WA den Schlüssel erzeugt und wo ist der gespeichert? Denk mal drüber nach.
Du hast das /s vergessen…
Also wie jede portable Software. Scheint wohl ein Sommerloch für „Sicherheitsforscher“ zu sein.