Categories: Sicherheit

Confide: Von Mitarbeitern des Weißen Hauses benutzte Messaging-App ist unsicher

Forscher von QuarksLab und IOActive haben Sicherheitslücken in der Messaging-App Confide entdeckt. Sie wird Medienberichten zufolge von irischen Politikern und auch vielen Mitarbeitern des Weißen Hauses benutzt. Letztere sollen über die App, die für Windows, Mac OS X, iOS und Android erhältlich ist, vertrauliche Informationen der Regierung Trump an die Presse weitergegeben haben. Dafür soll die App jedoch nicht geeignet sein, da sie entgegen den Aussagen ihres Herstellers Nachrichten nicht vollständig verschlüsseln soll beziehungsweise vor unbefugten Zugriffen schützen kann.

QuarksLab zufolge ist unter anderem der Confide-Entwickler in der Lage, Nachrichten seiner Nutzer zu lesen. Außerdem soll es möglich sein, bestimmte Sicherheitsfunktionen zu umgehen. Confide löscht Nachrichten automatisch, nachdem sie gelesen wurden. Zudem soll die App das Anfertigen von Screenshots verhindern – beides soll nicht wie vorgesehen funktionieren.

Confide ist für Windows, Mac OS X, Android, iOS und die Apple Watch erhältlich (Bild: Confide).„Die Ende-zu-Ende-Verschlüsselung von Confide ist weit vom Stand der Technik entfernt“, schreiben die QuarksLab-Forscher in einem Blogeintrag. „Es ist nicht einfach, eine sichere Messaging-App zu entwickeln, aber wenn man das behauptet, sollten von Anfang an einige starke Mechanismen durchgesetzt werden.“

Confide-Gründer Jon Brod wies die Kritik an seiner App zurück. Die Forscher hätten absichtlich die Sicherheit ihrer eigenen Geräte kompromittiert, um Sicherheitsvorkehrungen von Confide auszuhebeln. „Der Angriff, den sie angeblich gezeigt haben, gilt nicht für legitime Nutzer von Confide, die von verschiedenen Sicherheitsvorkehrungen profitieren.“

Der unabhängige Sicherheitsforscher Kenneth White ergänzte, der Angriff an sich, bei dem QuarksLab die ausführbare Datei des Confide-Messengers modifiziert habe, um die TLS-Prüfung zu deaktivieren, sei für Testzwecke vernünftig. Daraus Kritik abzuleiten, sei jedoch unfair. „Wenn der Binärcode einer App von einem Angreifer modifiziert werden kann, ist es nicht mehr die App.“ Jedoch sei das gesamte Design von Confide fehlerhaft, da die App unterstelle, dass der Confide-Server stets echt sei.

Während sich die Tests von QuarksLab ausschließlich auf die iOS-Apps von Confide beziehen, will IOActive „mehrere kritische Anfälligkeiten“ in den Windows-, Mac- und Android-Apps gefunden haben. Mindestens eine Schwachstelle lege verschlüsselte Nachrichten gegenüber einem Angreifer offen. Ein Fehler in der Confide-Website gefährde zudem die Passwortsicherheit. Es seien auch Brute-Force-Angriffe auf die App-Passwörter möglich. Ein anderer Fehler gebe Hackern Zugriff auf Kontodaten wie Klarnamen, E-Mail-Adressen und Telefonnummern.

White kritisierte zudem, dass Confide seine App mit dem Versprechen bewirbt, sie biete eine „militärische Verschlüsselung“. Das sei ironischerweise in vielen Fällen „ein Anzeichen für ein schlecht gemachtes und unsicheres Produkt.“ Confide-Gründer Brod bestätigte indes, dass sein Unternehmen theoretisch in der Lage sei, Man-in-the-Middle-Angriffe auf die eigene App auszuführen. „Das würden wir nie tun“, sagte der Manager. Sein Unternehmen habe bisher auch noch keine Anfragen von US-Behörden erhalten. Einen Transparenzbericht veröffentlicht Confide jedoch nicht.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

17 Prozent der Bundesbürger bereits auf Phishing hereingefallen

Mehr als die Hälfte der Nutzer in Deutschland kann nach eigenen Angaben Phishing und Spam…

38 Minuten ago

Salesforce schmiedet Datenallianz

Der CRM-Marktführer stellt ein neues Ökosystem vor, das die Integration von Kunden- und Marktdaten erleichtern…

10 Stunden ago

Microsoft veröffentlicht Notfall-Update für Windows Server 2019

Unter Umständen können derzeit die Mai-Patches für Windows Server 2019 nicht installiert werden. Das Update…

22 Stunden ago

Malware Gipy stiehlt Passwörter und Daten

Malware-Kampagne nutzt Beliebtheit von KI-Tools aus und tarnt sich als KI-Stimmengenerator und wird über Phishing-Webseiten…

2 Tagen ago

Podcast: Chancen und Risiken durch KI zum Schutz vor Hackerangriffen

Christoph Schuhwerk, CISO EMEA bei Zscaler, über den Einfluss von KI auf den permanenten Wettlauf…

3 Tagen ago

Außerplanmäßiges Update schließt Zero-Day-Lücke in Chrome

Von ihr geht ein hohes Risiko aus. Laut Google ist ein Exploit für die Chrome…

4 Tagen ago