Forscher von QuarksLab und IOActive haben Sicherheitslücken in der Messaging-App Confide entdeckt. Sie wird Medienberichten zufolge von irischen Politikern und auch vielen Mitarbeitern des Weißen Hauses benutzt. Letztere sollen über die App, die für Windows, Mac OS X, iOS und Android erhältlich ist, vertrauliche Informationen der Regierung Trump an die Presse weitergegeben haben. Dafür soll die App jedoch nicht geeignet sein, da sie entgegen den Aussagen ihres Herstellers Nachrichten nicht vollständig verschlüsseln soll beziehungsweise vor unbefugten Zugriffen schützen kann.
QuarksLab zufolge ist unter anderem der Confide-Entwickler in der Lage, Nachrichten seiner Nutzer zu lesen. Außerdem soll es möglich sein, bestimmte Sicherheitsfunktionen zu umgehen. Confide löscht Nachrichten automatisch, nachdem sie gelesen wurden. Zudem soll die App das Anfertigen von Screenshots verhindern – beides soll nicht wie vorgesehen funktionieren.
Confide-Gründer Jon Brod wies die Kritik an seiner App zurück. Die Forscher hätten absichtlich die Sicherheit ihrer eigenen Geräte kompromittiert, um Sicherheitsvorkehrungen von Confide auszuhebeln. „Der Angriff, den sie angeblich gezeigt haben, gilt nicht für legitime Nutzer von Confide, die von verschiedenen Sicherheitsvorkehrungen profitieren.“
Der unabhängige Sicherheitsforscher Kenneth White ergänzte, der Angriff an sich, bei dem QuarksLab die ausführbare Datei des Confide-Messengers modifiziert habe, um die TLS-Prüfung zu deaktivieren, sei für Testzwecke vernünftig. Daraus Kritik abzuleiten, sei jedoch unfair. „Wenn der Binärcode einer App von einem Angreifer modifiziert werden kann, ist es nicht mehr die App.“ Jedoch sei das gesamte Design von Confide fehlerhaft, da die App unterstelle, dass der Confide-Server stets echt sei.
Während sich die Tests von QuarksLab ausschließlich auf die iOS-Apps von Confide beziehen, will IOActive „mehrere kritische Anfälligkeiten“ in den Windows-, Mac- und Android-Apps gefunden haben. Mindestens eine Schwachstelle lege verschlüsselte Nachrichten gegenüber einem Angreifer offen. Ein Fehler in der Confide-Website gefährde zudem die Passwortsicherheit. Es seien auch Brute-Force-Angriffe auf die App-Passwörter möglich. Ein anderer Fehler gebe Hackern Zugriff auf Kontodaten wie Klarnamen, E-Mail-Adressen und Telefonnummern.
White kritisierte zudem, dass Confide seine App mit dem Versprechen bewirbt, sie biete eine „militärische Verschlüsselung“. Das sei ironischerweise in vielen Fällen „ein Anzeichen für ein schlecht gemachtes und unsicheres Produkt.“ Confide-Gründer Brod bestätigte indes, dass sein Unternehmen theoretisch in der Lage sei, Man-in-the-Middle-Angriffe auf die eigene App auszuführen. „Das würden wir nie tun“, sagte der Manager. Sein Unternehmen habe bisher auch noch keine Anfragen von US-Behörden erhalten. Einen Transparenzbericht veröffentlicht Confide jedoch nicht.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
