{"id":29177,"date":"2022-08-30T11:20:49","date_gmt":"2022-08-30T09:20:49","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29177"},"modified":"2022-08-30T11:20:49","modified_gmt":"2022-08-30T09:20:49","slug":"signal-hacked-but-still-secure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/signal-hacked-but-still-secure\/29177\/","title":{"rendered":"Angriff auf Signal best\u00e4tigt: der Messenger ist sicher!"},"content":{"rendered":"

Am 15. August meldete<\/a> das Team von Signal, dass Nutzer des Messengers durch unbekannte Cyberkriminelle angegriffen worden waren. Wir erkl\u00e4ren, warum dieser Vorfall die Sicherheit von Signal best\u00e4tigt und ihn vor anderen Messengern platziert.<\/p>\n

Das ist passiert<\/h2>\n

Dem Statement von Signal zufolge waren rund 1900 der insgesamt mehr als 40 Millionen<\/a> aktiven App-Nutzer von dem Angriff betroffen. Signal wird vor allem von Personen genutzt, denen die Privatsph\u00e4re ihrer Korrespondenz wirklich am Herzen liegt. Auch wenn der Angriff nur einen winzigen Teil der Nutzer traf, war er f\u00fcr die Welt der Informationssicherheit dennoch von Bedeutung.<\/p>\n

Der Angriff erm\u00f6glichte es den verantwortlichen Cyberkriminellen sich von einem anderen Ger\u00e4t aus in die Konten ihrer Opfer einzuloggen oder Rufnummern bestimmten Nutzern zuzuordnen. Dabei hatten die Angreifer vor allem drei Mobilrufnummern auf dem Radar. Dabei setzte der Nutzer einer dieser drei Nummern Signal dar\u00fcber in Kenntnis, dass sein Konto unwissentlich auf einem anderen Ger\u00e4t aktiviert worden war.<\/p>\n

So kam es zu dem Vorfall<\/h2>\n

Auf unserem Kaspersky Daily Blog haben wir oft dar\u00fcber berichtet, dass Signal ein sicherer Messenger ist. Bedeutet der erfolgreiche Angriff deshalb, dass Sicherheit und Datenschutz der App nur ein Mythos sind? Lassen Sie uns zur Beantwortung dieser Frage einen Blick auf den Ablauf der Attacke werfen und herausfinden, welche Rolle Signal dabei wirklich gespielt hat.<\/p>\n

Beginnen wir mit der Tatsache, dass Signal-Konten, ebenso wie WhatsApp- und Telegram-Konten, mit einer Rufnummer verkn\u00fcpft sind. Dies ist eine g\u00e4ngige, aber nicht universelle Praxis. Der Messenger Threema wirbt beispielsweise damit, dass die Identit\u00e4t seiner Nutzer nicht an eine Rufnummer gebunden ist. Bei Signal wird eine Telefonnummer zur Authentifizierung<\/a> ben\u00f6tigt: Der Nutzer gibt seine Rufnummer ein und erh\u00e4lt einen Einmalcode per Textnachricht, den er dann in der App eingeben muss: Ist der Code korrekt, identifiziert die App den Nutzer als authentischen Inhaber der Rufnummer.<\/p>\n

Der Versand von Textnachrichten, die Einmalcodes enthalten, wird von spezialisierten Unternehmen durchgef\u00fchrt, die dieselbe Authentifizierungsmethode f\u00fcr mehrere Dienste anbieten. Im Fall von Signal ist dieser Anbieter Twilio \u2013 und genau auf den hatten es die Kriminellen eigentlich abgesehen.<\/p>\n

Im n\u00e4chsten Schritt kam dann ber\u00fchmt-ber\u00fcchtigtes Phishing zum Einsatz. Einige Twilio-Mitarbeiter erhielten<\/a> Textnachrichten, in denen sie auf ihre angeblich veralteten Passw\u00f6rter hingewiesen wurden, die eine dringende Aktualisierung erforderten. Um dies zu tun, wurden sie dazu aufgefordert, einen Phishing-Link zu \u00f6ffnen. Einer der Mitarbeiter fiel auf diese Masche herein, \u00f6ffnete die Fake-Website und gab dort seine Anmeldedaten ein, die dann direkt in die H\u00e4nde der Hacker fielen.<\/p>\n

Mit diesen Zugangsdaten konnten die Angreifer auf die internen Systeme von Twilio zugreifen und so Textnachrichten an Benutzer senden und lesen. Anschlie\u00dfend nutzten die Hacker den Dienst, um Signal auf einem neuen Ger\u00e4t zu installieren: Sie gaben die Telefonnummer des Opfers ein, fingen die SMS mit dem Aktivierungscode ab und gelangten so in dessen Signal-Konto.<\/p>\n

Deshalb spricht der Vorfall f\u00fcr die Sicherheit von Signal<\/h2>\n

Der Vorfall zeigt, dass auch Signal nicht vor derartigen Angriffen gefeit ist. Warum betonen wir dann immer wieder die Sicherheit und den Datenschutz des Dienstes?<\/p>\n

Zun\u00e4chst sei folgendes gesagt: Die Cyberkriminellen haben keinen Zugang zur Korrespondenz<\/strong> erhalten. Signal verwendet eine Ende-zu-Ende-Verschl\u00fcsselung<\/a> mit dem sicheren Signal-Protokoll<\/a>. Durch den Einsatz der Ende-zu-Ende-Verschl\u00fcsselung werden die Nachrichten der Nutzer nur auf ihren Ger\u00e4ten gespeichert und nicht auf den Servern von Signal selbst.<\/p>\n

Dort werden lediglich die Rufnummern der Nutzer sowie die Telefonnummern ihrer Kontakte gespeichert. Auf diese Weise kann der Messenger Nutzer benachrichtigen, wenn sich einer ihrer Kontakte bei Signal anmeldet. Die Daten werden jedoch zun\u00e4chst in speziellen Speichern aufbewahrt, die als sichere Enklaven bezeichnet werden und auf die selbst Signal-Entwickler keinen Zugriff haben. Dar\u00fcber hinaus werden die Rufnummern selbst hier nicht im Klartext gespeichert, sondern in Form eines Hash-Codes. Dieser Mechanismus erm\u00f6glicht es der Signal-App auf Ihrem Telefon, verschl\u00fcsselte Informationen \u00fcber Kontakte zu senden und eine ebenso verschl\u00fcsselte Antwort darauf zu erhalten, welcher Ihrer Kontakte Signal verwendet. \u00dcbersetzt bedeutet das: Die Angreifer konnten sich keinen Zugriff auf die Kontaktliste der Nutzer verschaffen.<\/p>\n

Signal wurde in der Supply Chain angegriffen \u2013 und das \u00fcber einen weniger gesch\u00fctzten Dienstleister, der von dem Unternehmen eingesetzt wurde. Aber auch f\u00fcr solche F\u00e4lle hat Signal Vorkehrungen getroffen.<\/p>\n

Die App enth\u00e4lt ein Feature namens Registrierungssperre (um die Funktion zu aktivieren gehen Sie zu Einstellungen \u2192 Konto \u2192 Registrierungssperre<\/em>) die die Eingabe einer benutzerdefinierten PIN<\/a> erfordert, wenn Signal auf einem neuen Ger\u00e4t aktiviert wird. Dabei hat die Signal-PIN \u00fcbrigens nichts mit dem Entsperren der App zu tun.<\/p>\n

\"Registrierungssperre

Registrierungssperre in den Signal-Einstellungen<\/p><\/div>\n

Standardm\u00e4\u00dfig ist die Registrierungssperre deaktiviert, wie es bei mindestens einem der gehackten Konten der Fall war. Auf diese Weise gelang es den Cyberkriminellen, den Angriff durchzuf\u00fchren, indem sie sich etwa 13 Stunden lang als Opfer des Angriffs ausgaben. W\u00e4re die Registrierungssperre aktiviert gewesen, h\u00e4tten sich die Kriminellen nicht bei der App anmelden k\u00f6nnen<\/strong>.<\/p>\n

Wie k\u00f6nnen Nachrichten besser gesch\u00fctzt werden?<\/h2>\n

Fazit: Die Angreifer haben nicht Signal selbst, sondern seinen Partner Twilio gehackt und sich so Zugang zu 1900 Accounts verschafft. Einloggen konnten sie sich jedoch lediglich bei drei dieser Konten. Dar\u00fcber hinaus erhielten sie weder Zugang zu Korrespondenzen noch zu Kontaktlisten und konnten lediglich den Versuch starten, sich als Nutzer der betroffenen Konten auszugeben. Bei aktivierter Registrierungssperre w\u00e4re dies \u00fcbrigens ebenfalls nicht m\u00f6glich gewesen.<\/p>\n

Und obwohl der Angriff formal als erfolgreich bezeichnet wird, gibt es keinen Grund zur Sorge. Signal bleibt weiterhin eine ziemlich sichere App, die Ihnen eine gute Privatsph\u00e4re bietet, wie dieser Vorfall zeigt. Um die App noch sicherer zu machen, k\u00f6nnen sie Folgendes tun:<\/p>\n