Categories: Sicherheit

Confide: Von Mitarbeitern des Weißen Hauses benutzte Messaging-App ist unsicher

Forscher von QuarksLab und IOActive haben Sicherheitslücken in der Messaging-App Confide entdeckt. Sie wird Medienberichten zufolge von irischen Politikern und auch vielen Mitarbeitern des Weißen Hauses benutzt. Letztere sollen über die App, die für Windows, Mac OS X, iOS und Android erhältlich ist, vertrauliche Informationen der Regierung Trump an die Presse weitergegeben haben. Dafür soll die App jedoch nicht geeignet sein, da sie entgegen den Aussagen ihres Herstellers Nachrichten nicht vollständig verschlüsseln soll beziehungsweise vor unbefugten Zugriffen schützen kann.

QuarksLab zufolge ist unter anderem der Confide-Entwickler in der Lage, Nachrichten seiner Nutzer zu lesen. Außerdem soll es möglich sein, bestimmte Sicherheitsfunktionen zu umgehen. Confide löscht Nachrichten automatisch, nachdem sie gelesen wurden. Zudem soll die App das Anfertigen von Screenshots verhindern – beides soll nicht wie vorgesehen funktionieren.

Confide ist für Windows, Mac OS X, Android, iOS und die Apple Watch erhältlich (Bild: Confide).„Die Ende-zu-Ende-Verschlüsselung von Confide ist weit vom Stand der Technik entfernt“, schreiben die QuarksLab-Forscher in einem Blogeintrag. „Es ist nicht einfach, eine sichere Messaging-App zu entwickeln, aber wenn man das behauptet, sollten von Anfang an einige starke Mechanismen durchgesetzt werden.“

Confide-Gründer Jon Brod wies die Kritik an seiner App zurück. Die Forscher hätten absichtlich die Sicherheit ihrer eigenen Geräte kompromittiert, um Sicherheitsvorkehrungen von Confide auszuhebeln. „Der Angriff, den sie angeblich gezeigt haben, gilt nicht für legitime Nutzer von Confide, die von verschiedenen Sicherheitsvorkehrungen profitieren.“

Der unabhängige Sicherheitsforscher Kenneth White ergänzte, der Angriff an sich, bei dem QuarksLab die ausführbare Datei des Confide-Messengers modifiziert habe, um die TLS-Prüfung zu deaktivieren, sei für Testzwecke vernünftig. Daraus Kritik abzuleiten, sei jedoch unfair. „Wenn der Binärcode einer App von einem Angreifer modifiziert werden kann, ist es nicht mehr die App.“ Jedoch sei das gesamte Design von Confide fehlerhaft, da die App unterstelle, dass der Confide-Server stets echt sei.

Während sich die Tests von QuarksLab ausschließlich auf die iOS-Apps von Confide beziehen, will IOActive „mehrere kritische Anfälligkeiten“ in den Windows-, Mac- und Android-Apps gefunden haben. Mindestens eine Schwachstelle lege verschlüsselte Nachrichten gegenüber einem Angreifer offen. Ein Fehler in der Confide-Website gefährde zudem die Passwortsicherheit. Es seien auch Brute-Force-Angriffe auf die App-Passwörter möglich. Ein anderer Fehler gebe Hackern Zugriff auf Kontodaten wie Klarnamen, E-Mail-Adressen und Telefonnummern.

White kritisierte zudem, dass Confide seine App mit dem Versprechen bewirbt, sie biete eine „militärische Verschlüsselung“. Das sei ironischerweise in vielen Fällen „ein Anzeichen für ein schlecht gemachtes und unsicheres Produkt.“ Confide-Gründer Brod bestätigte indes, dass sein Unternehmen theoretisch in der Lage sei, Man-in-the-Middle-Angriffe auf die eigene App auszuführen. „Das würden wir nie tun“, sagte der Manager. Sein Unternehmen habe bisher auch noch keine Anfragen von US-Behörden erhalten. Einen Transparenzbericht veröffentlicht Confide jedoch nicht.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Stunden ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

10 Stunden ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

11 Stunden ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Tag ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago