Nachdem eine App zur Ausleitung von Nachrichten aus Krypto-Messenger wie Signal zum zweiten Mal geknackt wurde, haben die Verantwortlichen die Anwendung komplett dichtgemacht. Das berichtet NBC News unter Berufung auf eine Mitteilung der Mutterfirma hinter der App namens TeleMessage. Als der Einbruch entdeckt wurde, habe man schnell reagiert, um ihn einzudämmen und eine externe Firma mit der Analyse beauftragt, hat die Firma demnach erklärt: "Aus Vorsicht wurden alle TeleMessage-Dienste vorübergehend eingestellt." Mit der US-Grenzschutzbehörde CBP hat dem Bericht zufolge zuvor mindestens eine US-Behörde die Benutzung der App gestoppt.
Die App ist erst in den vergangenen Tagen in den Blickpunkt der Öffentlichkeit gerückt, nachdem der damalige Nationale Sicherheitsberater von US-Präsident Donald Trump im Kabinett dabei fotografiert worden war, wie er sie auf seinem Smartphone benutzt hat. Die Anwendung ermöglicht die Benutzung von Krypto-Messengern wie Signal und WhatsApp, hebelt aber zentrale Schutzfunktionen aus. So werden Inhalte ausgeleitet, damit sie archiviert werden können. Damit geht aber jene Sicherheit verloren, die die Ende-zu-Ende-Verschlüsselung bietet, denn die Nachrichten werden an TeleMessage weitergeleitet, wo sie aufbewahrt werden. Der Quellcode der Anwendung ist angeblich inzwischen öffentlich und zeigt ersten Analysen zufolge eklatante Sicherheitslücken wie fest kodierte Zugangsdaten – quasi eine Backdoor auf die TeleMessage-Dienste.
Nachdem am Wochenende das US-Magazin 404 Media berichtet hat, dass TeleMessage geknackt wurde und eine unbekannte Person Zugriff auf zahlreiche Chats auch aus US-Behörden und dem US-Kongress hat, hat NBC News nun von einem weiteren Eindringen erfahren. Wie die US-Nachrichtenseite schreibt, hat sich dort am Sonntagabend eine glaubhafte Person gemeldet, die in das zentrale Archiv von TeleMessage eingedrungen ist und viele Inhalte heruntergeladen hat. Bewiesen wurde das demnach über Screenshots. Ob dort sensible Inhalte der US-Regierung liegen, habe die Person noch nicht ermittelt. Es handle sich aber um eine andere Person als jene, die gegenüber 404 Media einen erfolgreichen Einbruch verkündet hat.
Die Enthüllung, dass in der US-Regierung, in US-Behörden und in der US-Politik eine App benutzt wird, die eines der zentralsten Sicherheitsversprechen von Krypto-Messengern wie Signal aushebelt, ist die jüngste Volte der Signal-Affäre. Die hat Ende März ihren Ausgang genommen, als ein renommierter US-Journalist publik gemacht hat, dass er versehentlich zu einem Gruppenchat auf Signal hinzugefügt worden war, in dem die US-Regierung geheime Informationen über US-Militärschläge ausgetauscht hat. Dabei ist solch eine kommerzielle Software auf privaten Mobilgeräten für solche Konversationen gänzlich ungeeignet. Wird dafür eine derart modifizierte Variante benutzt, ist das Risiko noch deutlich größer, wie nun deutlich geworden.
(
Kommentare