Einer der größten Cyber-Skandale des Jahres betrifft direkt die US-Regierung. Anfang Mai enthüllte das Investigativmedium 404 Media, dass bestimmte US-Bundesbehörden, darunter der U.S. Customs and Border Protection, eine geklonte und modifizierte Version der Signal-App verwenden.
Diese App, angeboten vom israelischen Unternehmen TeleMessage, wurde von der US-Regierung übernommen, da sie die Archivierung von Konversationen ihrer Mitglieder ermöglicht eine gesetzlich vorgeschriebene Praxis in US-Bundesinstitutionen.
Doch indem Konversationen zur Archivierung auf einen Drittanbieter-Server übertragen werden, wird die Ende-zu-Ende-Verschlüsselung das Herzstück von Signals Sicherheit – de facto ausgehebelt.
Der betroffene Klon, TM SGNL genannt, wurde Berichten zufolge in wenigen Minuten gehackt. Wenige Wochen später wurden 410 GB an Daten aus dem Hack online veröffentlicht.
Auch Nutzer der offiziellen Signal-App betroffen
Der von TeleMessage entwickelte Klon basiert auf derselben Architektur wie die offizielle Signal-App: Beide Versionen sind interoperabel und können uneingeschränkt miteinander kommunizieren.
Im Gegensatz zur Originalversion speichert der Klon Nachrichten systematisch im Klartext auf einem Drittserver von TeleMessage. Jede Person, die mit einem Klon-Nutzer kommuniziert, sieht somit ihre Nachrichten unbemerkt exfiltriert selbst wenn sie die offizielle Signal-App verwendet. Diese Interoperabilität ermöglicht es, Gespräche zu kompromittieren, die aus einer sicheren Umgebung heraus initiiert wurden.
Doch das Problem betrifft nicht nur Signal: TeleMessage bietet auch modifizierte Versionen anderer populärer Apps wie WhatsApp, Telegram oder WeChat an alle sind an dieselbe nun kompromittierte Infrastruktur zur Datensammlung und Archivierung angeschlossen.
Ein Hack in wenigen Minuten durch Quellcode-Schwachstellen
Der Hack wurde durch eine Reihe grundlegender technischer Fehler ermöglicht. Die Entwickler von TeleMessage hatten die vollständigen Quellcodedateien für Android und iOS öffentlich auf ihrer Website zugänglich gemacht einschließlich eines .git-Ordners mit dem kompletten Entwicklungshistorie und fest kodierten Zugangsdaten. Diese Offenlegung ermöglichte es mehreren Sicherheitsexperten, die App sofort zu analysieren und kritische Schwachstellen aufzudecken.
Innerhalb von zwanzig Minuten demonstrierte einer von ihnen die Möglichkeit, Konversationen abzufangen – ein klarer Beweis, dass TeleMessage technisch auf unverschlüsselte Nachrichten zugreifen konnte, was der versprochenen Sicherheit völlig widerspricht. Der Hack erforderte keine komplexe Infiltration oder Zero-Day-Exploit, sondern lediglich den Zugriff auf öffentlich zugänglichen Code und schlecht umgesetzte Entwicklungspraktiken.
Der Angreifer konnte auf Folgendes zugreifen:
- Klartextnachrichten von Mitarbeitenden des U.S. Customs and Border Protection sowie von Unternehmen wie der Kryptobörse Coinbase,
- Zugangsdaten und Passwörter von Nutzern,
- Metadaten zu Kontakten, Uhrzeiten, Inhalten und weiteren kontextuellen Informationen der Gespräche.
Eine umfassende technische Analyse dieses Vorfalls, durchgeführt vom Journalisten Micah Lee, ist hier verfügbar: Zur vollständigen Analyse.
Ein systemisches Problem, kein Einzelfall
Was mit dem Signal-Klon geschah, ist kein seltener Ausnahmefall, sondern ein Symptom weit verbreiteter Praktiken und tief verwurzelter Risiken im App-Ökosystem.
Das Klonen und Modifizieren von Apps ist gängige Praxis, oft ohne Analyse der sicherheitstechnischen Auswirkungen. Häufig wird Software angepasst, um branchenspezifische Funktionen zu integrieren, wie in diesem Fall, in anderen Fällen zu betrügerischen oder schädlichen Zwecken: Umgehung von Bezahlsystemen, Einbau von Spionagecode, stille Sammlung persönlicher Daten…
Auch ohne böswillige Absicht schwächen solche Änderungen die ursprünglichen Sicherheitsmechanismen der Apps oder machen sie vollständig wirkungslos.
Die Lehre: Mobile Apps müssen getestet werden
Dieser Skandal macht eine oft übersehene Wahrheit deutlich: Keine App ist per se sicher egal ob sie populär, Open Source oder scheinbar geprüft ist.
Dieser Grundsatz gilt für alle Nutzungskontexte:
- Nutzung von Drittanbieter-Apps
Alle Apps führen nicht sichtbare Verhaltensweisen aus, die im Unternehmenskontext zu Datenschutzverletzungen oder Betrug führen können. Pradeo bietet Lösungen, um Drittanbieter-Apps automatisiert oder auf Anfrage auf Sicherheitsrisiken zu testen und zu kontrollieren. Diese erkennen riskante Verhaltensweisen (Datenmanipulation, Verbindungen, Malware, Tracking...) und bewerten schnell die Vertrauenswürdigkeit einer App. - Entwicklung und Veröffentlichung von Apps
Ob für geschäftliche oder öffentliche Nutzung – Risiken sollten bereits in der Entwicklungsphase erkannt und während des gesamten App-Lebenszyklus kontrolliert werden. Die von Pradeo unterstützte AppSec Suite „Yagaan“ bietet AST (Application Security Testing) und MAST Lösungen (Mobile Application Security Testing) zur Analyse von Quell, oder Binärcode mobiler und Web-Apps, zur Identifikation und einfachen Behebung von Sicherheitslücken (z. B. Datenlecks, Schwachstellen…).
