In der Affäre um die von US-Regierungsmitgliedern für den Austausch vertraulicher Informationen genutzte modifizierte Signal-Variante TeleMessage meldet sich nun auch Signal selbst zu Wort. Insbesondere zum Thema Datenschutz und Sicherheit hat die Signal-Stiftung eine klare Position.
Der modifizierte Messenger stellte inzwischen nach einem zweiten Einbruch den Betrieb ein. TeleMessage erlaubt es, die sonst Ende-zu-Ende-verschlüsselten Nachrichten an die Server des Anbieters auszuleiten, womit die Nutzer offenbar der Dokumentationspflicht der Regierungskommunikation in den USA nachkommen wollten. Das reißt allerdings ein Sicherheitsleck auf.
Der TeleMessage-Quellcode ist inzwischen öffentlich, er war auf der Webseite des Anbieters herunterladbar. Erste Analysen kamen zu dem Ergebnis, dass etwa Zugangsdaten darin fest einprogrammiert sind. Mit diesen können Angreifer sich dann offensichtlich an den TeleMessage-Servern anmelden und unbefugt auf Daten zugreifen.
Die Signal-Stiftung hat dazu nun Stellung bezogen: "Wir können die Datenschutz- und Sicherheitseigenschaften von inoffiziellen Versionen von Signal nicht garantieren." Das ist nachvollziehbar, denn mit dem Quellcode von Signal, der unter Open-Source-Lizenz verfügbar ist, können andere Entwickler eigene Varianten erstellen und darin unsichere Ergänzungen einbauen. Genau so, wie es im Fall von TeleMessage geschehen ist.
Für etwas, was Fremde außerhalb der Kontrolle der Signal-Stiftung erstellen, können die Signal-Entwickler logischerweise nicht einstehen. Die Funktionen zum Ausleiten und Archivieren von Nachrichten, die TeleMessage implementiert hat, nutzte offenbar die vorgenannten, dilettantisch hartkodierten Zugangsdaten und ermöglichte dadurch aller Wahrscheinlichkeit nach die Angriffe auf den Dienst überhaupt erst.
Da im originalen Signal-Client solche Modifikationen nicht vorhanden sind, greift hier die sichere Ende-zu-Ende-Verschlüsselung, die Kommunikation bleibt vertraulich – sofern natürlich nicht die Endpunkte mit Spyware infiziert sind, die naturgemäß in der Position die Klartextnachrichten mitlesen kann.
Auch in der EU nutzen etwa die Außenminister und -ministerinnen den Gruppenchat von Signal und versenden darüber etwa Selfies. Verantwortlich soll die EU-Außenbeauftragte Kaja Kallas sein. Signal gilt als Krypto-Messenger vergleichsweise sicher, stammt jedoch aus den USA. Die Benutzung solcher öffentlich verfügbaren Anwendungen durch Minister und Ministerinnen bringt auch deshalb mögliche Sicherheitsrisiken mit sich.
(
Kommentare