Am 15. August meldete das Team von Signal, dass Nutzer des Messengers durch unbekannte Cyberkriminelle angegriffen worden waren. Wir erklären, warum dieser Vorfall die Sicherheit von Signal bestätigt und ihn vor anderen Messengern platziert.
Das ist passiert
Dem Statement von Signal zufolge waren rund 1900 der insgesamt mehr als 40 Millionen aktiven App-Nutzer von dem Angriff betroffen. Signal wird vor allem von Personen genutzt, denen die Privatsphäre ihrer Korrespondenz wirklich am Herzen liegt. Auch wenn der Angriff nur einen winzigen Teil der Nutzer traf, war er für die Welt der Informationssicherheit dennoch von Bedeutung.
Der Angriff ermöglichte es den verantwortlichen Cyberkriminellen sich von einem anderen Gerät aus in die Konten ihrer Opfer einzuloggen oder Rufnummern bestimmten Nutzern zuzuordnen. Dabei hatten die Angreifer vor allem drei Mobilrufnummern auf dem Radar. Dabei setzte der Nutzer einer dieser drei Nummern Signal darüber in Kenntnis, dass sein Konto unwissentlich auf einem anderen Gerät aktiviert worden war.
So kam es zu dem Vorfall
Auf unserem Kaspersky Daily Blog haben wir oft darüber berichtet, dass Signal ein sicherer Messenger ist. Bedeutet der erfolgreiche Angriff deshalb, dass Sicherheit und Datenschutz der App nur ein Mythos sind? Lassen Sie uns zur Beantwortung dieser Frage einen Blick auf den Ablauf der Attacke werfen und herausfinden, welche Rolle Signal dabei wirklich gespielt hat.
Beginnen wir mit der Tatsache, dass Signal-Konten, ebenso wie WhatsApp- und Telegram-Konten, mit einer Rufnummer verknüpft sind. Dies ist eine gängige, aber nicht universelle Praxis. Der Messenger Threema wirbt beispielsweise damit, dass die Identität seiner Nutzer nicht an eine Rufnummer gebunden ist. Bei Signal wird eine Telefonnummer zur Authentifizierung benötigt: Der Nutzer gibt seine Rufnummer ein und erhält einen Einmalcode per Textnachricht, den er dann in der App eingeben muss: Ist der Code korrekt, identifiziert die App den Nutzer als authentischen Inhaber der Rufnummer.
Der Versand von Textnachrichten, die Einmalcodes enthalten, wird von spezialisierten Unternehmen durchgeführt, die dieselbe Authentifizierungsmethode für mehrere Dienste anbieten. Im Fall von Signal ist dieser Anbieter Twilio – und genau auf den hatten es die Kriminellen eigentlich abgesehen.
Im nächsten Schritt kam dann berühmt-berüchtigtes Phishing zum Einsatz. Einige Twilio-Mitarbeiter erhielten Textnachrichten, in denen sie auf ihre angeblich veralteten Passwörter hingewiesen wurden, die eine dringende Aktualisierung erforderten. Um dies zu tun, wurden sie dazu aufgefordert, einen Phishing-Link zu öffnen. Einer der Mitarbeiter fiel auf diese Masche herein, öffnete die Fake-Website und gab dort seine Anmeldedaten ein, die dann direkt in die Hände der Hacker fielen.
Mit diesen Zugangsdaten konnten die Angreifer auf die internen Systeme von Twilio zugreifen und so Textnachrichten an Benutzer senden und lesen. Anschließend nutzten die Hacker den Dienst, um Signal auf einem neuen Gerät zu installieren: Sie gaben die Telefonnummer des Opfers ein, fingen die SMS mit dem Aktivierungscode ab und gelangten so in dessen Signal-Konto.
Deshalb spricht der Vorfall für die Sicherheit von Signal
Der Vorfall zeigt, dass auch Signal nicht vor derartigen Angriffen gefeit ist. Warum betonen wir dann immer wieder die Sicherheit und den Datenschutz des Dienstes?
Zunächst sei folgendes gesagt: Die Cyberkriminellen haben keinen Zugang zur Korrespondenz erhalten. Signal verwendet eine Ende-zu-Ende-Verschlüsselung mit dem sicheren Signal-Protokoll. Durch den Einsatz der Ende-zu-Ende-Verschlüsselung werden die Nachrichten der Nutzer nur auf ihren Geräten gespeichert und nicht auf den Servern von Signal selbst.
Dort werden lediglich die Rufnummern der Nutzer sowie die Telefonnummern ihrer Kontakte gespeichert. Auf diese Weise kann der Messenger Nutzer benachrichtigen, wenn sich einer ihrer Kontakte bei Signal anmeldet. Die Daten werden jedoch zunächst in speziellen Speichern aufbewahrt, die als sichere Enklaven bezeichnet werden und auf die selbst Signal-Entwickler keinen Zugriff haben. Darüber hinaus werden die Rufnummern selbst hier nicht im Klartext gespeichert, sondern in Form eines Hash-Codes. Dieser Mechanismus ermöglicht es der Signal-App auf Ihrem Telefon, verschlüsselte Informationen über Kontakte zu senden und eine ebenso verschlüsselte Antwort darauf zu erhalten, welcher Ihrer Kontakte Signal verwendet. Übersetzt bedeutet das: Die Angreifer konnten sich keinen Zugriff auf die Kontaktliste der Nutzer verschaffen.
Signal wurde in der Supply Chain angegriffen – und das über einen weniger geschützten Dienstleister, der von dem Unternehmen eingesetzt wurde. Aber auch für solche Fälle hat Signal Vorkehrungen getroffen.
Die App enthält ein Feature namens Registrierungssperre (um die Funktion zu aktivieren gehen Sie zu Einstellungen → Konto → Registrierungssperre) die die Eingabe einer benutzerdefinierten PIN erfordert, wenn Signal auf einem neuen Gerät aktiviert wird. Dabei hat die Signal-PIN übrigens nichts mit dem Entsperren der App zu tun.
Standardmäßig ist die Registrierungssperre deaktiviert, wie es bei mindestens einem der gehackten Konten der Fall war. Auf diese Weise gelang es den Cyberkriminellen, den Angriff durchzuführen, indem sie sich etwa 13 Stunden lang als Opfer des Angriffs ausgaben. Wäre die Registrierungssperre aktiviert gewesen, hätten sich die Kriminellen nicht bei der App anmelden können.
Wie können Nachrichten besser geschützt werden?
Fazit: Die Angreifer haben nicht Signal selbst, sondern seinen Partner Twilio gehackt und sich so Zugang zu 1900 Accounts verschafft. Einloggen konnten sie sich jedoch lediglich bei drei dieser Konten. Darüber hinaus erhielten sie weder Zugang zu Korrespondenzen noch zu Kontaktlisten und konnten lediglich den Versuch starten, sich als Nutzer der betroffenen Konten auszugeben. Bei aktivierter Registrierungssperre wäre dies übrigens ebenfalls nicht möglich gewesen.
Und obwohl der Angriff formal als erfolgreich bezeichnet wird, gibt es keinen Grund zur Sorge. Signal bleibt weiterhin eine ziemlich sichere App, die Ihnen eine gute Privatsphäre bietet, wie dieser Vorfall zeigt. Um die App noch sicherer zu machen, können sie Folgendes tun:
- Aktivieren Sie die Registrierungssperre in den Signal-Einstellungen, damit sich Cyberkriminelle nicht bei Ihrem Konto anmelden können, ohne Ihre private PIN zu kennen, selbst wenn sie auf den Einmalcode zum Aktivieren von Signal auf einem neuen Gerät zugreifen können.
- Lesen Sie unseren Blogbeitrag zur richtigen Konfiguration der App. Signal verfügt über grundlegende Einstellungen sowie Optionen für besonders misstrauische Nutzer, die zusätzliche Sicherheit auf Kosten einer gewissen Benutzerfreundlichkeit bieten.
- Selbstverständlich sollten Sie auch eine angemessene Sicherheits-App auf Ihrem Smartphone installieren. Sollte Malware auf Ihr Gerät gelangen, werden Ihre Nachrichten und Ihre Kontaktliste nicht von Signal selbst geschützt. Hat Malware erst gar keine Chance auf Ihr Gerät zu gelangen, besteht demnach auch keine Gefahr für Ihre Daten.