Entfessele dein Jagdfieber

Bug in Signal machte Android-Telefone zur Wanze

Meldung von doelf, Montag der 07.10.2019, 17:43:44 Uhr

Googles Project Zero hat einen Logikfehler im Messenger Signal aufgespürt, durch den sich Android-Telefone in Wanzen verwandeln ließen. Eine kleine Modifikation des Android-Clients reichte aus, um die Annahme von Anrufen ohne eine Interaktion des Angerufenen zu veranlassen. Danach konnte der Anrufer sein Opfer über dessen Mikrofon belauschen.

Bei Anruf verwanzt
Für den Angriff musste die Datei WebRtcCallService.java derart abgeändert werden, dass der Druck auf die Stumm-Taste die Funktion handleCallConnected() auslöst. Normalerweise signalisiert diese dem Anrufer, dass sein Gesprächspartner abgehoben hat. Wenn jedoch der Anrufer handleCallConnected() über den modifizierten Client sendete, stellte der Client des Opfers die Verbindung ohne jede Nachfrage her. Somit lag es alleine in der Hand des Anrufers, ob das Mikrofon des Opfers scharf geschaltet wurde.

Fehler behoben
Signal hat sehr schnell auf die Fehlermeldung vom 28. September 2019 reagiert und das Logikproblem bereits beseitigt - zumindest unter Android. Der Status der iOS-App ist derweil unklar. Diese leidet zwar unter dem selben Fehler, doch aufgrund eines weiteren Problems mit der Benutzeroberfläche schlug dort der Angriff fehl.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]