Sicherheitsforscher haben die Desktop-App des Messengers
Signal, der sich Datenschutz gross auf die Fahne schreibt, unter die Lupe genommen. Das Ergebnis ist ernüchternd – aber nicht mit Blick auf Datenschutzes, sondern die Sicherheit. Wie die Forscher auf Mastodon
posten, haben sie mit Hilfe eines Phyton-Skriptes sämtliche gespeicherten Daten der App inklusive allen Chats auf ein anderes Verzeichnis des Rechners gespeichert. Die exportierten Daten luden sie schliesslich auf einen anderen Rechner. Dort wurde ebenfalls Signal installiert und prompt war der Zugriff auf alle gespeicherten Daten gegeben – obwohl es sich um eine Neuinstallation handelte. Eine Warnmeldung an die ursprünglichen Geräte wurde nicht ausgegeben. Der Datendiebstahl ist still und heimlich erfolgt.
Natürlich funktioniert das nur, indem man physischen Zugriff auf den Rechner hat, trotzdem kritisieren die Forscher das fehlende Sandbox-System auf der Desktop-App. Das Chat-Verzeichnis auf dem Smartphone zu kopieren, ist nicht möglich, da die App den Zugriff verweigert. Auf dem Desktop fehlt diese Sicherheit dagegen komplett. Ebenfalls Kritik einstecken muss gemäss den Forschenden die "nutzlose" Sicherheit der Verschlüsselung der Datenbank, da das dazugehörige Passwort in der Datei "config.json" als Klartext gespeichert sei.
(dok)
