Signal wird von vielen als die sicherste Messaging-Anwendung der Welt angesehen und sogar vom berühmten Edward Snowden für diejenigen empfohlen, die sicher mit jedem kommunizieren möchten, der reden möchte. Leider ist die Signal-Anwendung nicht ganz so sicher, wie viele denken. Dies liegt daran, dass eine XSS-Schwachstelle entdeckt wurde, die die Ausnutzung der Webversionen der Signal-Anwendung durch jedermann und jederzeit ermöglicht.
Signal weist ein so großes Sicherheitsproblem auf, dass jeder Hacker es ausnutzen kann, ohne dass das Opfer mit dem ihm gesendeten bösartigen Link interagiert und ohne den Angriff des Hackers in irgendeiner Weise blockieren zu können. Alle Desktop-Versionen von Signal sind von diesem sehr schwerwiegenden Sicherheitsproblem betroffen, aber wer die mobilen Apps für iPhone und Android nutzt, sollte zu 100 % vor einem solchen Angriff geschützt sein, da die Plattformen unterschiedlich sind.
Signal: GROSSES Anwendungssicherheitsproblem
Video des neuen Angriffs auf Signal. Ich weiß, dass es nicht dasselbe ist, aber auf einem Desktop würde ich bei PGP+E-Mail bleiben https://t.co/MkabYbgGW8 pic.twitter.com/DJRNBhBnTT
— Alfredo Ortega (@ortegaalfredo) 16. Mai 2018
Signal kann mit dieser Schwachstelle zwar keine sehr wichtigen Informationen stehlen, aber der Angreifer kann Informationen über die Identität des Opfers in Erfahrung bringen, was für diejenigen, die die Anwendung nutzen, ein großes Problem darstellt, anonym zu bleiben. Das Interessante daran ist, dass das Problem in den offiziellen Versionen von Signal durch das Unternehmen behoben wurde, was seit April bekannt war, aber erst jetzt, nur 3 Stunden nach der öffentlichen Offenlegung der Schwachstelle, gelöst wurde.
„Ein XSS-Fehler ist in jeder Anwendung ein Ärgernis, aber in Signal, das von Parteien verwendet wird, die ein Höchstmaß an Privatsphäre wünschen, wird dies noch verstärkt.“ Ein Angreifer, der sich als Kontakt ausgibt, könnte die Schwachstelle ausnutzen, um eine Nachricht mit einer bösartigen URL zu senden, um eine Reihe von Code-Injection-Kompromissen mithilfe von Bild-, Audio- oder iFrame-Tags einzurichten oder einfach die Software zum Absturz zu bringen.“
Signal hat Updates für alle offiziellen Apps veröffentlicht, aber natürlich müssen Sie diese installieren, um vor dieser sehr gefährlichen Sicherheitslücke geschützt zu sein. Wenn Sie die Plattform also nutzen, suchen Sie nach verfügbaren Updates. Trotz Problemen dieser Art bleibt Signal immer noch die beliebteste Plattform derjenigen, die 100 % sichere Gespräche wünschen, und zwar deshalb, weil Sicherheitsprobleme extrem schnell behoben werden, sodass Benutzer ein Höchstmaß an Sicherheit genießen.
