Der Sicherheitsforscher John Jackson hat eine Studie über zwei Schwachstellen veröffentlicht, die er im Desktop Client des Messengers Signal gefunden hat – CVE-2023-24069 und CVE-2023-24068. Der Experte ist sich sicher, dass Angreifer diese Sicherheitslücken für Spionagezwecke ausnutzen können. Da Desktop-Anwendungen von Signal für alle Betriebssysteme eine gemeinsame Codebasis haben, sind beide Schwachstellen nicht nur im Windows-Client, sondern auch in MacOS- und Linux-Clients vorhanden. Alle Versionen bis zur neuesten (6.2.0) sind somit verwundbar. Lassen Sie uns einen Blick darauf werfen, wie bedrohlich die Schwachstellen wirklich sind.
Was sind die Schwachstellen CVE-2023-24069 und CVE-2023-24068?
Die erste Schwachstelle, CVE-2023-24069, liegt in einem schlecht durchdachten Mechanismus, der Dateien verarbeitet, die über Signal gesendet werden. Wenn Sie eine Datei an den Signal-Chat senden, speichert der Desktop Client diese in einem lokalen Verzeichnis. Wird eine Datei gelöscht, verschwindet sie aus dem Verzeichnis … es sei denn, jemand hat auf sie reagiert oder sie wurde an einen anderen Chat weitergeleitet. Obwohl Signal als sicherer Messenger positioniert wird und die gesamte Kommunikation verschlüsselt ist, werden die Dateien ungeschützt gespeichert.
Die Schwachstelle CVE-2023-24068 wurde bei einer detaillierteren Untersuchung des Clients gefunden. Dabei wurde entdeckt, dass dem Client ein Mechanismus zur Dateivalidierung fehlt. So wird es Angreifern theoretisch ermöglicht, Dateien zu ersetzen. Das heißt, wenn die weitergeleitete Datei auf dem Desktop-Client geöffnet wurde, kann jemand sie im lokalen Ordner durch eine gefälschte Datei ersetzen. Erfolgen danach weitere Weiterleitungen, wir nun die Fake-Datei weitergegeben.
Welche Gefahr bergen CVE-2023-24069 und CVE-2023-24068?
Die potenziellen Risiken von CVE-2023-24069 sind mehr oder weniger nachvollziehbar. Wenn ein Nutzer der Desktop-Version von Signal seinen Computer beispielsweise unbeaufsichtigt lässt, kann jemand Zugriff auf Dateien erhalten, die über Signal verschickt wurden. Das Gleiche kann passieren, wenn die vollständige Festplattenverschlüsselung auf dem Computer oder Laptop aktiviert ist und der Besitzer dazu neigt, ihn unbeaufsichtigt zurückzulassen (z. B. in Hotelzimmern).
Der Exploit der zweiten Schwachstelle erfordert einen umfassenderen Ansatz. Nehmen wir an, eine Person empfängt und sendet regelmäßig Dateien über die Signal-Desktop-App: In diesem Fall können Angreifer, die Zugang zum Computer dieser Person haben, eine der Dateien ersetzen oder beispielsweise durch das Einfügen eines schädlichen Skripts ein bestehendes Dokument ändern. Bei weiteren Übertragungen der gleichen Datei verbreitet der Besitzer die Malware also unter seinen Kontakten.
Wir möchten jedoch betonen, dass der Exploit beider Schwachstellen nur dann möglich ist, wenn der Angreifer bereits Zugang zum Computer des Opfers hat. Ein unrealistisches Szenario ist dies jedoch nicht, denn wir sprechen hier nicht explizit von physischem Zugang. Es würde genügen, den Computer mit Malware zu infizieren, die Außenstehenden die Manipulation von Dateien ermöglicht.
So können Sie sich schützen
Wie das CVE Program angibt, bestreiten die Entwickler von Signal die Bedeutsamkeit dieser Schwachstellen und erklären, dass ihr Produkt nicht vor Angreifern mit einem derartigen Zugriff auf das System des Opfers schützen sollte und kann. Aus diesem Grund sollte die Desktop-Version von Signal (und Desktop-Versionen von Messengern im Allgemeinen) nicht verwendet werden. Wenn Ihr Arbeitsprozess dies jedoch für einige Aufgaben erfordert, empfehlen wir Ihnen Folgendes:
- Erklären Sie Ihren Mitarbeitern, dass entsperrte Computer nicht unbeaufsichtigt hinterlassen werden sollten;
- Verwenden Sie auf Arbeitsgeräten immer eine komplette Festplattenverschlüsselung;
- Nutzen Sie Sicherheitslösungen, die Malware und Versuche eines unbefugten Datenzugriffs erkennen und stoppen können.