Signal Messenger hat Berichte untersucht, die am Wochenende über eine Zero-Day-Sicherheitslücke im Zusammenhang mit der Funktion „Linkvorschauen generieren“ kursierten. Sie geben an, dass es keine Beweise für die Existenz dieser Sicherheitslücke gibt.

Die Untersuchung erfolgte, nachdem mehrere Quellen BleepingComputer und Twitter darüber informierten, dass eine neue Zero-Day-Schwachstelle es Angreifern ermöglichen würde, die volle Kontrolle über Geräte zu übernehmen.

Nachdem Signal gestern über die Zero-Day-Schwachstelle informiert wurde, veröffentlichten sie auf Twitter eine Stellungnahme, in der sie erklärten, dass sie die Gerüchte untersucht hätten und keine Anhaltspunkte dafür gefunden hätten, dass diese Schwachstelle real ist.

„PSA: Wir haben die vagen, viralen Berichte über eine Signal Zero-Day-Schwachstelle gesehen“, lautet die Stellungnahme auf Twitter. „Nach sorgfältiger Untersuchung haben wir keine Beweise, die darauf hindeuten, dass diese Schwachstelle real ist, und es wurden keine weiteren Informationen über unsere offiziellen Meldekanäle geteilt.“

„Wir haben auch mit Personen in der US-Regierung gesprochen, da der Bericht von der US-Regierung als Quelle behauptet wurde. Diejenigen, mit denen wir gesprochen haben, haben keine Informationen, die darauf hinweisen, dass diese Behauptung gültig ist.“

Nach Angaben nicht genannter US-Regierungsquellen verbreiteten sich die Gerüchte über die vermeintliche Zero-Day-Schwachstelle am Samstagnachmittag schnell im Internet und in der Cybersicherheitsgemeinschaft. Diese ungenannten USG-Quellen sagten, dass die Schwachstelle durch Deaktivieren der Einstellung „Linkvorschauen generieren“ in Signal abgemildert werden könne.

BleepingComputer konnte jedoch die Richtigkeit dieser Aussagen nicht bestätigen, obwohl wir von zahlreichen Personen, die sich auf die gleichen Quellen berufen, davon gehört haben.

Obwohl Signal erklärt hat, dass sie keine Beweise für eine neue Zero-Day-Schwachstelle haben, bitten sie dennoch diejenigen, die über neue und „echte“ Informationen verfügen, sich an ihr Sicherheitsteam zu wenden.

Da es sich um eine laufende Untersuchung handelt und die Abhilfe darin besteht, die Funktion „Linkvorschauen“ vorübergehend zu deaktivieren, sollten Nutzer diese Einstellung möglicherweise ausschalten, bis vollständig bestätigt ist, dass die Schwachstelle nicht existiert.

Zero-Day-Schwachstellen für Signal sind heiß begehrt Zero-Day-Schwachstellen für Signal sind bei Sicherheitsmaklern äußerst begehrt, die bereit sind, hohe Beträge für Schwachstellen zu zahlen, die zu einer Remote-Ausführung von Code auf Geräten führen können.

Der Makler Zerodium bietet bis zu 500.000 US-Dollar für eine Zero-Day-Signal-Exploit-Kette, die zu einer Privilegieneskalation und Remote-Code-Ausführung führt.

Der russische Zero-Day-Broker Operation Zero ist jedoch bereit, bis zu 1,5 Millionen US-Dollar für eine Signal-Zero-Day-Remote-Code-Ausführungs-Schwachstelle zu zahlen.

Während beide Schwachstellenmakler erworbene Zero-Day-Schwachstellen an private Unternehmen und Regierungsbehörden verkaufen, verkauft Operation Zero nur an russische Einrichtungen.

Zero-Day-Schwachstellen für mobile Apps und Betriebssysteme sind besonders gefragt, da Spionagesoftwareentwickler sie häufig verwenden, um ihre Software auf Mobilgeräten zu installieren.

Diese Dienste wurden von Einrichtungen, einschließlich Regierungsbehörden, genutzt, um die Aktivitäten von Journalisten, Aktivisten und Politikern zu überwachen.

We also checked with people across US Government, since the copy-paste report claimed USG as a source. Those we spoke to have no info suggesting this is a valid claim.

We take reports to security@signal.org very seriously, and invite those with real info to share it there. 2/

— Signal (@signalapp) October 16, 2023