Start Aktuell Signal Desktop Version legt die Encryption Keys lokal im Klartext ab

Signal Desktop Version legt die Encryption Keys lokal im Klartext ab

121
0

Vor einiger Zeit haben wir über sicherer Messenger-Alternativen im Gegensatz zu WhatsApp berichtet. Signal gilt dabei als sehr sicherer Messenger. Die Nachrichten werden nur verschlüsselt übertragen. Nun ist jedoch ein Fehler in der Desktop-Anwendung gefunden worden, welcher dafür sorgt, dass der Key für das Entschlüsseln der Nachrichten sehr einfach ausgelesen werden kann.

Der sogenannte Encryption Key liegt in der Desktop Anwendung lokal und unverschlüsselt in einer eigenen Datei. Wird die Desktop-Version von Signal installiert wird dabei eine verschlüsselte SQLite-Datenbank namens db.sqlite erstellt. Diese wird zum Speichern der Nachrichten des Nutzers verwendet. Der Encryption Key für diese Datenbank wird automatisch generiert.

Der Encryption Key wird jedesmal dann benötigt, wenn Signal Desktop die Datenbank öffnet. Dabei wird der Key als Klartext in die lokale Datei % AppData% \ Signal \ config.json gespeichert (auf einem Mac unter ~ / Library / Application Support /.

Verschlüsselte Datenbank im Editor geöffnet. (Bildquelle: BleepingComputer)

Wird die config.json Datei geöffnet ist der Encryption Key für jeden verfügbar. Und mit diesem Key kann dann wiederum die db.sqlite Datenbank ausgelesen werden, welche mit einem Programm wie dem sqlitebrowser geöffnet werden kann.

config.json-Datei. (Bildquelle: BleepingComputer)

Angreifer könnten dadurch ganz leicht die Signal-Kommunikation der Nutzer auslesen. Allerdings ist der Zugriff auf den Rechner für solch einen Angriff Voraussetzung.

Das es überhaupt möglich ist, so einfach an den Key zu kommen liegt laut BleepingComputer an den automatisch generierten Keys bei der Installation der Software.

Nach der Eingabe des Keys… (Bildquelle: BleepingComputer)
…gab es vollen Zugriff auf alle Dateien (Bildquelle: BleepingComputer)

Das Problem könnte einfach behoben werden, indem der Nutzer aufgefordert wird, ein Kennwort einzugeben, welches zum Generieren des Encryption Keys verwendet wird. So wie man es auch bei Cloud-Backups, Passwort-Managern oder Kryptowährungs-Wallets kennt.

Weitere Schwachstelle

Ebenfalls gibt es eine weitere Schwachstelle bei Signal: Wenn du von der Chrome-Erweiterung, welche nun veraltet ist, auf die neue Desktop-Variante wechselst werden unverschlüsselte Nachrichten in einer normalen Textdatei abgelegt. Herausgefunden wurde die Schwachstelle von einem Nutzer, welcher auf seinem Mac gebeten wurde (auch unter Linux), ein Upgrade auf die Neue Desktop Version durchzuführen.

Beim Upgrade der Desktop App werden alle Daten frei zugänglich und unverschlüsselt auf dem PC gespeichert.

Die Daten sollten heruntergeladen werden und wurden dabei einfach lokal auf dem PC abgelegt. Hierbei ist alles einsehbar vom Namen, Kommunikation und Telefonnummer. Nachdem dann das Upgrade installiert und die Daten übertragen wurden blieben die heruntergeladenen Daten jedoch weiterhin auf der Festplatte und müssen von dort manuell gelöscht werden.

Du lädst deine Dateien in die neue Desktop Version von Signal. Allerdings erfolgt das Löschen vom Desktop manuell.
Alle Dateien werden unverschlüsselt auf dem Desktop gespeichert.