image

Lek in Signal Desktop kon aanvaller code laten uitvoeren

dinsdag 15 mei 2018, 13:27 door Redactie, 13 reacties

Een beveiligingslek in de desktopapplicatie van de versleutelde chat-app Signal had aanvallers op afstand code kunnen laten uitvoeren, waardoor gevoelige data kon worden gestolen. Alleen het versturen van een speciaal geprepareerd bericht naar een Signal Desktop-gebruiker was voldoende geweest.

Signal is een chat-app waarmee smartphone-gebruikers end-to-end versleuteld kunnen communiceren. Naast de Signal-app voor smartphones is er Signal Desktop, een applicatie die gebruikers Signal-berichten via hun laptop of desktop laat ontvangen. Alle berichten worden vervolgen gesynchroniseerd met de Signal-app op de smartphone.

Beveiligingsonderzoekers Ivan Ariel Barrera Oro, Alfredo Ortega en Juliano Rizzo ontdekten het probleem bij toeval toen ze een link met cross-site scripting (XSS) op een andere website via Signal Desktop uitwisselden. De desktopapplicatie bleek niet goed met de link om te gaan. Content Security Policy (CSP) zorgde er echter voor dat de scripts die via de kwaadaardige link werden aangeroepen niet werkten. Door de url binnen een iframe te verwerken was het echter wel mogelijk om dit te doen, zelfs het laden van code vanaf een SMB-share werkte.

"Het belangrijke is dat het geen interactie van het slachtoffer vereist, anders dan een gesprek te starten. Iedereen kan binnen Signal een gesprek starten, dus een aanvaller hoefde alleen een speciaal geprepareerde url te versturen om zonder verdere interactie het slachtoffer te hacken. En het is platformonafhankelijk", aldus de onderzoekers. Signal werd op 10 mei over de kwetsbaarheid ingelicht en een dag later was er een update beschikbaar. Gisteren maakten de onderzoekers details over het lek bekend.

Reacties (13)
15-05-2018, 13:50 door Anoniem
Met signal heb je een telefoon nummer nodig, als je je nummer geeft aan een persoon met signal kan die ook whatsapp hebben en dus is mijn nummer gedeeld naar facebook dankzij whatsapp. Dus signal is waardeloos qua privacy. Jammer!
15-05-2018, 14:33 door Anoniem
Door Anoniem: Met signal heb je een telefoon nummer nodig, als je je nummer geeft aan een persoon met signal kan die ook whatsapp hebben en dus is mijn nummer gedeeld naar facebook dankzij whatsapp. Dus signal is waardeloos qua privacy. Jammer!

Je moet in dat geval met jouw nummer nog nooit iemand gebeld, ge sms't enz hebben of altijd met nummer afscherming werken. Je ontkomt er bijna niet aan dat iemand jouw nummer in zijn/haar telefoonboek heeft helaas.

Signal begon me toch al te irriteren met vertraagd afgeleverde berichten c.q. meldingen. Voor threema moet je betalen, dat wil ik wel maar kan ik niet verlangen van de tegenpartij.
15-05-2018, 14:44 door PietdeVries
Door Anoniem: Met signal heb je een telefoon nummer nodig, als je je nummer geeft aan een persoon met signal kan die ook whatsapp hebben en dus is mijn nummer gedeeld naar facebook dankzij whatsapp. Dus signal is waardeloos qua privacy. Jammer!

Ja man! Volkswagen maakt sjoemeldiesels. Volkswagens staan vaak in dezelfde straat als Renaults. Dus Renault maakt sjoemeldiesels...?
15-05-2018, 14:50 door Anoniem
Met signal heb je een telefoon nummer nodig, als je je nummer geeft aan een persoon met signal kan die ook whatsapp hebben en dus is mijn nummer gedeeld naar facebook dankzij whatsapp. Dus signal is waardeloos qua privacy. Jammer!

Als je je wachtwoord op een briefje op je voordeur hangt, heeft het wachtwoord ook weinig zin. Houdt dat in dat wachtwoorden per definitie waardeloos zijn ?
15-05-2018, 15:07 door abj61
Door Anoniem: Dus signal is waardeloos qua privacy. Jammer!
Threema, Tungsten en XMPP hebben wat mij betreft het beste systeem voor privacy : geen telefoonnummer of email nodig.
15-05-2018, 15:27 door Anoniem
Er zijn betere alternatieven voor Signal, klopt. Maar helaas valt of staat het bij hoeveel mensen gebruiken. Je kunt wel een applicatie gebruiken die je privacy 100% waarborgt maar als je de enige stakker bent die het gebruikt, dan heb je er niets aan.
15-05-2018, 15:30 door Anoniem
Door Anoniem: Met signal heb je een telefoon nummer nodig, als je je nummer geeft aan een persoon met signal kan die ook whatsapp hebben en dus is mijn nummer gedeeld naar facebook dankzij whatsapp. Dus signal is waardeloos qua privacy. Jammer!

Dat is toch ook zo als je geen Signal hebt. Hoezo is Signal dan waardeloos qua privacy? Iedereen die facebook heeft met contacten die geen facebook hebben is dan bekend bij facebook.
15-05-2018, 16:35 door Anoniem
Door Anoniem: Met signal heb je een telefoon nummer nodig, als je je nummer geeft aan een persoon met signal kan die ook whatsapp hebben en dus is mijn nummer gedeeld naar facebook dankzij whatsapp. Dus signal is waardeloos qua privacy. Jammer!
Geef maar aan hoe je dit tegen zou kunnen gaan.

Als je je telfoonnummer gebruikt zal deze bij iemand opgeslagen worden hieraan valt niet te ontkomen tenzij je bij iedereen die belt dit gaat controleren
15-05-2018, 17:01 door PietdeVries - Bijgewerkt: 15-05-2018, 17:01
Door Anoniem: Er zijn betere alternatieven voor Signal, klopt.

Grappig dat je dat noemt - ben erg benieuwd naar de app die je aanbeveelt en waarom. Bits of Freedom geeft Signal eigenlijk de meeste punten als het om het versturen van berichten gaat (https://toolbox.bof.nl/playlist/prive-mobiel/4/). Maar 't kan natuurlijk zijn dat jij iets hebt gevonden dat BoF over het hoofd zag, dus ik houd me aanbevolen...
15-05-2018, 20:01 door Anoniem
Door PietdeVries:
Door Anoniem: Er zijn betere alternatieven voor Signal, klopt.

Grappig dat je dat noemt - ben erg benieuwd naar de app die je aanbeveelt en waarom. Bits of Freedom geeft Signal eigenlijk de meeste punten als het om het versturen van berichten gaat (https://toolbox.bof.nl/playlist/prive-mobiel/4/). Maar 't kan natuurlijk zijn dat jij iets hebt gevonden dat BoF over het hoofd zag, dus ik houd me aanbevolen...

15:27: Het lijkt er op dat ik het niet goed heb verwoord. Wat ik bedoelde is dat een applicatie valt of staat bij het aantal gebruikers. De applicaties die privacy 100% waarborgen (in hoeverre dat kan) zijn niet bepaald populair bij het 'normale' publiek. Als jij van je vriendengroep de enige bent die applicatie X gebruikt; want die waarborgt jouw privacy. Dan word je gezien als de stakker van de groep die per se iets anders moet gebruiken en waarschijnlijk eindigt het in een zinloze discussie dat het allemaal niet zoveel uit maakt.

Zelf maak ik ook gebruik van Signal. Het feit dat zij mijn nummer hebben, daar kan ik mee leven zolang zij de berichten verder niet analyseren. Maar van al mijn contacten (79) zijn er slechts drie die Signal gebruiken.

https://www.privacytools.io/#im
15-05-2018, 20:38 door Anoniem
Door PietdeVries:
Door Anoniem: Er zijn betere alternatieven voor Signal, klopt.

Grappig dat je dat noemt - ben erg benieuwd naar de app die je aanbeveelt en waarom. Bits of Freedom geeft Signal eigenlijk de meeste punten als het om het versturen van berichten gaat (https://toolbox.bof.nl/playlist/prive-mobiel/4/). Maar 't kan natuurlijk zijn dat jij iets hebt gevonden dat BoF over het hoofd zag, dus ik houd me aanbevolen...
huh? Weet je dan niets? Allemaal opensource, encrypted en anoniem als je het met tor gebruikt > Wire, rocket.chat, Tox, Riot.im
16-05-2018, 05:29 door Anoniem
Door Anoniem:
Door PietdeVries:
Door Anoniem: Er zijn betere alternatieven voor Signal, klopt.

Grappig dat je dat noemt - ben erg benieuwd naar de app die je aanbeveelt en waarom. Bits of Freedom geeft Signal eigenlijk de meeste punten als het om het versturen van berichten gaat (https://toolbox.bof.nl/playlist/prive-mobiel/4/). Maar 't kan natuurlijk zijn dat jij iets hebt gevonden dat BoF over het hoofd zag, dus ik houd me aanbevolen...

15:27: Het lijkt er op dat ik het niet goed heb verwoord. Wat ik bedoelde is dat een applicatie valt of staat bij het aantal gebruikers. De applicaties die privacy 100% waarborgen (in hoeverre dat kan) zijn niet bepaald populair bij het 'normale' publiek. Als jij van je vriendengroep de enige bent die applicatie X gebruikt; want die waarborgt jouw privacy. Dan word je gezien als de stakker van de groep die per se iets anders moet gebruiken en waarschijnlijk eindigt het in een zinloze discussie dat het allemaal niet zoveel uit maakt.

Zelf maak ik ook gebruik van Signal. Het feit dat zij mijn nummer hebben, daar kan ik mee leven zolang zij de berichten verder niet analyseren. Maar van al mijn contacten (79) zijn er slechts drie die Signal gebruiken.

https://www.privacytools.io/#im

Dat is een kwestie van beter overtuigen. Iedereen die voor mij van waarde is zit op Signal. Voorwaarde is dat ze mij ook van waarde vinden. Los daarvan was de boodschap dat je Signal prima naast WhatsApp kunt draaien en dat ze daarmee zelf bijdragen aan de oplossing een vruchtbare. Veel mensen installeren alles dat los en vast zit, dus wasrom niet Signal?

Verder overigens nooit last van trage aflevering. Ik hoor zlfs mvan mensen die bijde hebben dat Signal soms beter werkt dan WhatsApp....
16-05-2018, 09:38 door Anoniem
Door Anoniem:
Door Anoniem:
Door PietdeVries:
Door Anoniem: Er zijn betere alternatieven voor Signal, klopt.

Grappig dat je dat noemt - ben erg benieuwd naar de app die je aanbeveelt en waarom. Bits of Freedom geeft Signal eigenlijk de meeste punten als het om het versturen van berichten gaat (https://toolbox.bof.nl/playlist/prive-mobiel/4/). Maar 't kan natuurlijk zijn dat jij iets hebt gevonden dat BoF over het hoofd zag, dus ik houd me aanbevolen...

15:27: Het lijkt er op dat ik het niet goed heb verwoord. Wat ik bedoelde is dat een applicatie valt of staat bij het aantal gebruikers. De applicaties die privacy 100% waarborgen (in hoeverre dat kan) zijn niet bepaald populair bij het 'normale' publiek. Als jij van je vriendengroep de enige bent die applicatie X gebruikt; want die waarborgt jouw privacy. Dan word je gezien als de stakker van de groep die per se iets anders moet gebruiken en waarschijnlijk eindigt het in een zinloze discussie dat het allemaal niet zoveel uit maakt.

Zelf maak ik ook gebruik van Signal. Het feit dat zij mijn nummer hebben, daar kan ik mee leven zolang zij de berichten verder niet analyseren. Maar van al mijn contacten (79) zijn er slechts drie die Signal gebruiken.

https://www.privacytools.io/#im

Dat is een kwestie van beter overtuigen. Iedereen die voor mij van waarde is zit op Signal. Voorwaarde is dat ze mij ook van waarde vinden. Los daarvan was de boodschap dat je Signal prima naast WhatsApp kunt draaien en dat ze daarmee zelf bijdragen aan de oplossing een vruchtbare. Veel mensen installeren alles dat los en vast zit, dus wasrom niet Signal?

Verder overigens nooit last van trage aflevering. Ik hoor zlfs mvan mensen die bijde hebben dat Signal soms beter werkt dan WhatsApp....

Ik heb helaas andere ervaringen. Ik heb WhatsApp twee jaar lang niet gebruikt en uitsluitend met Signal gewerkt. Dat ging lang goed maar de laatste maanden kwam er steeds vaker vertraging in het afleveren van berichten tot soms wel een kwartier, andere dagen ging het weer vlekkeloos. Ik heb drie verschillende telefoons geprobeerd met zowel 4G als Wifi maar dat alles maakte geen verschil. Ook de nieuwste telefoon met snelle octacore processor en Android One (8.1) hielp niet om het op te lossen. Ook nog tips van Open Whisper Systems geprobeerd zoals accu optimalisatie uitzetten voor Signal enz. Hielp ook niks.

Daarom ben ik met frisse tegenzin terug gegaan naar WhatsApp zonder ook maar iets aan te passen als accu optimalisatie etc. en ik moet zeggen dat WhatsApp echt zo snel als een raket is. Facebook weet nu mijn voornaam en met wie ik communiceer, niet leuk maar het moet wel gewoon in het dagelijks gebruik werkbaar zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.