Signal Desktop: Fehler gab Zugriff auf Chats im Klartext


Ein System gilt so lange als sicher, bis ein Fehler entdeckt wird, der diese Sicherheit beeinträchtigt. Im Fall von Chat-Apps können solche Fehler dafür sorgen, dass eigentlich geheime Chats gar nicht mehr so geheim sind. So war es bei der Desktop-Anwendung für den Messenger Signal der Fall. Ein Fehler ermöglichte das Auslesen von Chats im Klartext, unverschlüsselt, also entgegen dem, was man eigentlich erwartet.

Der Fehler wurde von den Entwicklern allerdings schon erkannt, bevor sie von Sicherheitsforschern darauf hingewiesen wurden. Ebenso wurde der Fehler mit Version 1.11.0 für Windows, macOS und Linux behoben. Durch den Auto-Update-Mechanismus von Signal Desktop sollten demnach die meisten Nutzer schon wieder mit einer sicheren Version unterwegs sein.

Betroffen ist von dem Fehler auch nur die Desktop-Version gewesen, nicht die mobilen Apps für Android und iOS. Ob die Lücke aktiv ausgenutzt wurde, ist nicht bekannt, aber wohl eher unwahrscheinlich.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

11 Kommentare

  1. Lieblingsbank says:

    Signal ist einer von den Messengern, den ich nie nutzen würde 😉

    • @Lieblingsbank: Aus welchem Grund?

    • Wir sind arbeitsbedingt und DSGVO-bedingt gerade erst darauf umgestiegen und ich wüsste nicht was es im Gegensatz zu Whatsapp & Co. zu bemängeln gäbe (bis auf die Userbase aber da bei uns arbeitsbedingt ist das vollkommen akzeptabel)

    • Den Grund würde ich auch gerne mal erfahren. Im Gegensatz zu Threema, WhatsApp und sogar Telegram, soll Signal sehr sicher sein, gerade weil der Code einsehbar ist (Open Source, z.B. Server: https://github.com/signalapp/Signal-Server). Ich glaube, dass sogar Snowden diesen einmal empfohlen hatte. Also was soll das Problem im Detail sein?

      • sogar einer der Whatsapp-Gründer hat Signal empfohlen als er Whatsapp verlassen hat und hat einen zweistelligen Millionen-Betrag in die Signal-Foundation investiert. Die Verschlüsselung die Whatsapp benutzt ist auch von Signal afaik. Wurde aber von facebook angepasst.

  2. @Lieblingsbank: Aus welchem Grund?

  3. Ich grübele: Wenn man sich die fehlerhafte Version aufhebt, könnte man doch auch vielleicht weiterhin Zugriff auf verschlüsselte Chats haben. Oder nicht?

    • Nein, die unsichere Version muss bei dem Nutzer installiert sein, der ausgespäht werden soll. Ähnlich wie der unsichere Browser beim Opfer installiert sein muss.

  4. @Redaktion: Nix für ungut, aber eure Beiträge sind in letzter Zeit teilweise schon arg oberflächlich für ein Tech-Blog. Ich würd mir doch wünschen, dass ihr zumindest auch erklärt, was denn nun das Problem war. Dann wäre auch schnell klar, dass das ganze anscheinend nur funktioniert hat, wenn man auf eine manipulierte Nachricht per Zitat geantwortet hat. Oder versteh ich das falsch?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.