Sicherheitslücke in Android-App Darum sollten Signal-Nutzer jetzt updaten

Eine Google-Sicherheitsforscherin hat eine Schwachstelle in der Android-Variante von Signal entdeckt: Sie bot Angreifern die Chance, andere Nutzer des Messengers abzuhören. Ein App-Update beseitigt den Fehler.
Messenger Signal: Unter Android am besten zeitnah updaten

Messenger Signal: Unter Android am besten zeitnah updaten

Foto: Wolfram Kastl / DPA

Nutzer der Android-Version von Signal sollten darauf achten, dass sie die aktuelle Version der Software verwenden. In der Messenger-App klaffte nämlich bis vor Kurzem eine Sicherheitslücke, über die Angreifer Smartphone-Besitzer im schlimmsten Fall unbemerkt abhören können. Das hat Natalie Silvanovich von Googles Hackerteam Project Zero öffentlich gemacht.

Laut dem Bericht der Sicherheitsforscherin  konnten Angreifer, die das Problem kannten und wussten, wie man es mithilfe eines modifizierten App-Clients ausnutzt, über Signal einen Anruf auslösen und der Anwendung dabei auch gleich vorgaukeln, dass der oder die Angerufene abgenommen hatte. Aufgrund der Lücke akzeptierte die Android-Variante der App dieses Vorgehen, schaltete die Leitung frei, und der Angreifer konnte sein Opfer belauschen.

Übertragen wurde dabei nur Sound, heißt es, die Videokamera wurde nicht aktiviert. Erfolg versprach der Angriff aber allenfalls, wenn der Anrufempfänger den Anruf nicht gehört oder sein Gerät lautlos gestellt hatte.

Geschützt ist Signal ab der Version 4.47.7

Inzwischen ist ein App-Update veröffentlicht worden, mit dem die Schwachstelle beseitigt worden ist. Die geschützte Version von Signal ist an der Versionsnummer 4.47.7 zu erkennen. Android-Nutzer sollten in der Signal-App sicherheitshalber unter "Einstellungen/Weitere Einstellungen" prüfen, ob auf ihrem Smartphone bereits die überarbeitete Version installiert ist. Ist dies nicht der Fall, sollten sie über Googles Play Store die neue Version einspielen.

Auf iOS ließ sich die Lücke anders als auf Android nicht ausnutzen, schreibt Natalie Silvanovich. Der Versuch führe zu einem Problem auf der Benutzeroberfläche, der Anruf des Angreifers werde nicht durchgestellt. Sie empfehle den Signal-Machern vor diesem Hintergrund aber auch eine Überarbeitung der iOS-Version, schreibt die Sicherheitsexpertin.

Ein wenig erinnert die Lücke ohnehin an ein Sicherheitsproblem, das Anfang des Jahres iOS-Nutzer umtrieb. Damals war ein Fehler in Apples Videochat-Software FaceTime bekannt geworden. Die Schwachstelle hatte es Anrufern ermöglicht, einen Angerufenen zu hören, noch bevor dieser den Anruf annahm.

mbö/dpa
Die Wiedergabe wurde unterbrochen.