Am Wochenende kursierten Gerüchte, dass Signal, einer der Die vertrauenswürdigsten verschlüsselten Chat-Apps im Internet hatte eine ziemlich schlimme Zero-Day-Sicherheitslücke. Die inzwischen weitgehend widerlegten Behauptungen lösten in der Infosec-Community schnell Panik aus.
Sicherheitsseite BleepingComputer Berichte dass „zahlreiche Quellen“ sich über den angeblichen Fehler informierten, wobei einige behaupteten, sie hätten gehört, dass er so schlimm sei, dass er zu „einer vollständigen Übernahme von“ führen könnte [impacted] Geräte.” Leider gab es nur wenige tatsächliche Details über den Fehler, obwohl eine Behauptung oft wiederholt wurde eine angebliche Schadensbegrenzungstechnik: um die Signale auszuschalten Vorschau der Links Besonderheit. Dies schien darauf hinzudeuten, dass die Sicherheitslücke etwas mit dieser Funktion zu tun hatte. Ein weiteres Gerücht besagte, dass die Vorwürfe kamen von Leuten, die für die Bundesregierung arbeiteten, was den Behauptungen offenbar Legitimität verlieh.
Das Ganze wurde generiert erhebliches Interesse von Sicherheitsexperten auf sozialen Websites wie X und Mastodon, von denen viele sagten, sie würden die Behauptungen selbst untersuchen.
Laut Signal handelt es sich bei den Berichten jedoch um viel Lärm um nichts. Das Unternehmen gibt an, die Fehlergerüchte untersucht und nichts gefunden zu haben, was sie untermauern könnte. Am Sonntag wandte sich die Präsidentin von Signal, Meredith Whittaker, an X, um eine ausdrückliche Widerlegung vorzubringen. „Wichtige PSA für diejenigen, die den seltsamen viralen Bericht über eine Schwachstelle in Signal erhalten haben. Nach der Untersuchung: Wir haben keine Beweise dafür, dass der Bericht echt ist“, sagte Whittaker getwittert.
Nach der Reaktion von Signal kritisierten einige Sicherheitsexperten die Hysterie, die dazu geführt hatte, dass die Behauptungen viral gingen. „Wirklich enttäuscht von der Menge an ansonsten klugen Infosec-Leuten, die an diesem Wochenende die Signal-0day-Copypasta geteilt haben, ohne überhaupt Nachforschungen anzustellen oder es zu bestätigen.“ getwittert Cooper Quinton, Forscher bei der Electronic Frontier Foundation. „Wir sind nicht immun gegen Desinformationsangriffe und dieses Wochenende war ein beeindruckendes Beispiel dafür.“
Es stimmt, dass es in der kommerziellen Überwachungsbranche viele gibt gemietete Hacker die nach Sicherheitslücken in weit verbreiteten Plattformen – insbesondere Messengern – trollen. Tatsächlich ein Ganzes Zero-Day-Markt für Messenger existiert und Anfang dieses Monats ein Bericht von TechCrunch zeigte, dass Solche Schwachstellen sind für den richtigen Käufer bis zu 8 Millionen US-Dollar wert. Wenn es eine solche für Signal gäbe – eine weithin vertrauenswürdige Datenschutz-App – wäre sie zweifellos eine Menge Geld wert.
Obwohl Signal erklärt hat, dass es keine Hinweise auf einen Fehler gibt, scheint das Unternehmen dennoch an Beweisen dafür interessiert zu sein, dass die Sicherheitslücke real ist, und hat vorgeschlagen, dass sich jeder mit relevanten Informationen an [email protected] wendet.