Ein Programmierfehler in Signal erlaubt die Manipulation von Dateianhängen. Über einen zweiten hätten Angreifer Schadcode aus der Ferne einschleusen können, hätte ein dritter Bug diesen Angriff nicht verhindert.

Zwei Forscher haben eine Reihe von Sicherheitslücken in der Android-Version des Krypto-Messengers Signal entdeckt. Ein Man-in-the-Middle, der es schafft die von Signal zum Übertragen von Dateianhängen verwendeten Server zu kompromittieren oder sich als diese auszugeben, könnte die Lücken missbrauchen, um Dateianhänge zu manipulieren. Im schlimmsten Fall kann das dazu führen, dass das Opfer Signal nicht mehr benutzen kann. Der Inhalt der Dateianhänge und geheimer Chats kann durch die Lücken nicht entschlüsselt werden.

Glücklicherweise gibt es drei Bugs

Die Manipulation des Anhänge wird durch einen Speicherverwaltungsfehler beim Prüfen des Message Authentication Codes (MAC) der vom Server empfangenen Daten möglich. Dadurch kann ein Angreifer Daten an die vom Server verschickte Datei anhängen – diese müssen allerdings mindestens 4 GB zusätzlich einnehmen. Das kann beim Speichern auf dem Gerät des Empfängers dessen Speicherplatz auslasten. Ein zweiter Bug hätte es zwar ermöglicht, aus der Ferne Schadcode einzuschleusen und auf dem Gerät auszuführen, wenn ein dritter Bug dies nicht verhindern würde. Noch mal Glück gehabt.

Die Forscher weisen zwar darauf hin, dass Apps wie WhatsApp und der Facebook Messenger, deren Verschlüsselung auf der Java-Version von Signal beruht eventuell für das Ausführen von Schadcode anfällig sind, bisher gibt es dafür allerdings keine Anzeichen. Das wäre auch nur der Fall, wenn die Entwickler dieser Messenger den entsprechenden Signal-Quellcode an dieser Stelle signifikant geändert hätten.

Update ist in Arbeit

Die Lücken sind somit nicht besonders kritisch, sind aber immerhin die ersten erwähnenswerten Schwachstellen, die von unabhängigen Forschern in Signal gefunden und veröffentlicht wurden. Signal genießt in der Kryptogemeinde einen guten Ruf, vor allem auch deshalb, weil es bisher vielen Suchen nach Schwachstellen standgehalten hat. Auch NSA-Whistleblower Edward Snowden hat zu Protokoll gegeben, Signal fast täglich zu verwenden. Daran muss sich wohl auch in Zukunft nichts ändern, da Signal bereits einen Patch für die Lücke entwickelt hat. Ein Update für die App befindet sich in Arbeit. (fab)