Signal behebt endlich langjährige Sicherheitslücke in Desktop-Apps
Nach jahrelangem Drängen der Sicherheitsforscher hat Signal endlich eine Schwachstelle im Verschlüsselungsschlüssel seiner Desktop-Apps für Mac und Windows behoben.
Die Schwachstelle ermöglichte es Hackern, Nachrichten zu entschlüsseln, indem sie den Schlüssel aus einer lokalen Klartextdatei stahlen. Die Signal-Desktop-Apps speichern Nachrichten in einer verschlüsselten SQLite-Datenbank. Der Schlüssel für diese Verschlüsselung wird jedoch auf dem Computer in einer unverschlüsselten Datei gespeichert. Malware konnte diese Datei auslesen und so den Schlüssel und damit die Nachrichten entschlüsseln.
Sicherheitsforscher wiesen seit mindestens sechs Jahren auf diese Schwachstelle hin. Signal ignorierte diese Warnungen zunächst und behauptete fälschlicherweise, dass Angreifer vollen Zugriff auf den Computer benötigen würden, um den Schlüssel zu stehlen. Dies ist jedoch nicht der Fall, da es Malware gibt, die Klartextdateien lesen kann, ohne vollständigen Zugriff auf den Computer zu haben.
Nach Druck aus der Community und einem Lösungsvorschlag eines unabhängigen Entwicklers hat Signal nun die Schwachstelle behoben. Die Lösung verwendet die SafeStorage-API von Electron, um den Verschlüsselungsschlüssel auf dem Mac mit Keychain und auf Windows mit DPAPI zu verschlüsseln.
Während die Lösung auf dem Mac den Schlüssel vollständig schützt, ist die Windows-Version immer noch anfällig für Angriffe durch Malware. Die Verwendung von DPAPI verbessert die Sicherheit jedoch deutlich im Vergleich zum ursprünglichen Zustand.
Quelle(n):
9to5Mac
Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!
Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Telegram, WhatsApp, Mastodon, Threads, Bluesky oder auf Facebook oder abonniere meinen RSS-Feed!
