Eine neu entdeckte Sicherheitslücke in Messaging-Software wie Messenger, Google Duo und Signal ermöglichte das Aufzeichnen von Benutzern.
Ein Team von Google-Forschern hat eine Sicherheitslücke in einigen der am häufigsten verwendeten Instant Messaging-Apps wie Messenger und Signal entdeckt.
Dies ist die Entdeckung eines Forschers aus Project Zero, dem Google-Projekt, das Sicherheitsexperten zusammenbringt, um Probleme und Fehler in Programmen und im Internet zu finden. Beispielsweise haben Mitglieder von Project Zero die größte Prozessoranfälligkeit in der Geschichte entdeckt.
Die von der Forscherin Natalie Silvanovich in sieben Instant Messaging-Anwendungen entdeckten Fehler hätten noch gefährlicher sein können, da Angreifer Audios und Videos mit dem Gerät des Opfers aufzeichnen konnten, ohne dass das Opfer etwas tun musste und ohne die Zustimmung des Opfers.
Google hat schwerwiegende Fehler in Messaging-Apps entdeckt
Die Untersuchung begann, als im letzten Januar 2019 bekannt wurde, dass ein Fehler im iPhone es uns ermöglichte, die Person, die wir anriefen, zu hören und zu sehen, bevor sie den Anruf entgegennahm.
Laut Silvanovich trat eine solch schwerwiegende Sicherheitslücke, die gleichzeitig einfach zu bedienen war, aufgrund eines logischen Fehlers auf und ließ ihn darüber nachdenken, ob er auf anderen Plattformen etwas Ähnliches finden könnte.
Und tatsächlich stellte er nach Durchsicht einiger Messaging-Apps der Branche, die Anrufe und Videoanrufe ermöglichen, fest, dass viele ähnliche Fehler hatten. Dies liegt daran, dass die meisten Messaging-Apps WebRTC verwenden, einen Echtzeit-Kommunikationsstandard, der die Verbindung zwischen zwei Entitäten ermöglicht.
Infolgedessen hatten diese Apps mehrere Sicherheitslücken, sodass ein Angreifer die Verbindung herstellen konnte, bevor der Benutzer, der sie erhielt, sie überhaupt akzeptieren musste. Infolgedessen kann es Audio- und sogar Videodaten direkt vom Smartphone aufnehmen und den Betrieb beeinträchtigen.
Das Signal ist auch von der Sicherheitsanfälligkeit betroffen
Eine der Apps auf der betroffenen Liste ist Signal, das kürzlich dank seiner Präsentation als sicherere Alternative zu WhatsApp oder Telegram ein spektakuläres Wachstum verzeichnet hat. In diesem Fall ermöglichte die Sicherheitsanfälligkeit einem Angreifer, direkt über das Mikrofon des Geräts zuzuhören, da die App nicht überprüfte, wer den Anruf tätigte. Dieses Problem wurde dank eines im September 2019 veröffentlichten Updates gelöst. Darüber hinaus verwendet Signal WebRTC nicht mehr, um Verbindungen herzustellen.
Im Gegensatz dazu haben andere Apps etwas länger gebraucht, um ihre Fehler zu beheben. Ironischerweise war Google Duo das neueste und hat im Dezember 2020 ein Problem behoben, bei dem Videodatenpakete aus unbeantworteten Anrufen gefiltert wurden.
Facebook Messenger ist eine weitere beliebte betroffene App, die das Problem im November 2020 behoben hat. In diesem Fall könnte der Angreifer einen Anruf einleiten und gleichzeitig eine Nachricht an das Ziel senden, wodurch die App den Sound an den Angreifer sendet, ohne den Anruf auf dem Bildschirm anzuzeigen.
Es sagt viel über die Ernsthaftigkeit des Problems aus, dass Project Zero beschlossen hat, diese Probleme bis jetzt nicht öffentlich zu machen. Google startete das Projekt mit einer äußerst kontroversen Richtlinie, bei der die entdeckten Sicherheitslücken innerhalb von 90 Tagen veröffentlicht wurden, unabhängig davon, ob sie behoben wurden. Zum Beispiel, als veröffentlicht wurde, wie die Einschränkungen von Windows 10S umgangen werden können, bevor Microsoft den Patch veröffentlichen konnte.
Dieser Fall scheint jedoch so schwerwiegend gewesen zu sein, dass Google gewartet hat, bis alle Apps (einschließlich seiner eigenen) gepatcht wurden.
