Trojanisierte Messenger-Apps aus dem Appstore

Moderne Messenger nutzen immer häufiger Ende-zu-Ende-Verschlüsselung, um ein Mitlesen der Nachrichten beim Transport im Netz auszuschließen. Einfacher gelingt das Spionieren, wenn man Zugriff auf eines der beiden Telefone hat, in denen die Nachrichten eingetippt und lesbar angezeigt werden. Noch einfacher wird es, wenn man nicht das ganze Telefon kompromittiert und anschließend die Daten mühsam aus den Apps extrahieren muss, sondern direkt in der Messenger-App mitlesen kann.

In einem Bericht von ESET-Forschern werden zwei trojanisierte Messenger-Apps analysiert. Die mutmaßlich staatlichen Hersteller haben dazu einfach die verfügbaren Quellcodes des Telegram- und des Signal-Clients genommen. Die Apps wurden um die Spionagefunktionen ergänzt, umbenannt und als Messenger-Client mit zusätzlichen Features in den App-Stores angeboten. Die besondere Telegram-App hatte als beworbenes Zusatzfeature zum Beispiel eine Back-up-Funktion, die jedoch nicht nur für die Nutzer praktisch war. Da das Back-up bei den Spionen landete, standen ihnen damit gleich alle Daten gebündelt zur freien Verfügung.

Die Apps wurden aktiv beworben und waren über verschiedene App-Stores verfügbar. Die Nutzer haben sie dann selbst installiert und damit den Zugriff auf alle ihre Nachrichten ermöglicht.

Dreh ma‘ durch den Wolf: Threema glänzt im Audit

Die Sicherheit von verschlüsselnden Messengern ist ein heiß diskutiertes Thema, versprechen diese doch Ende-zu-Ende-Security auf einem Niveau, das E-Mail niemals in großem Maßstab erreicht hat. Das in Security-Fachkreisen geschätzte Threema hat nun einen weiteren Meilenstein erreicht: Nachdem 2019 bereits das Labor für IT-Sicherheit der FH Münster ein Audit durchgeführt hatte, wurden jetzt die Kollegen von Cure53 auf die App losgelassen. Der Gesamteindruck der Codequalität und der Struktur des Projekts, das bald auch Open Source werden soll, wurde als „außergewöhnlich solide“ bewertet, schwerwiegende Schwachstellen wurden nicht entdeckt. Die geplante Veröffentlichung des Sourcecodes ist insbesondere vor dem Hintergrund relevant, dass aktuell verschiedene politische Initiativen versuchen, die Sicherheit der Verschlüsselung in Messengern zu untergraben.

https://threema.ch/de/blog/posts/audit-2020