#Microfoon Signal-gebruikers was op afstand in te schakelen

[Captain Kirk]

Een beveiligingslek in de versleutelde chat-app Signal maakte het mogelijk om de microfoon van gebruikers zonder interactie op afstand in te schakelen. Het gaat om een soortgelijke kwetsbaarheid waar FaceTime eerder dit jaar mee te maken kreeg.

Het beveiligingslek in de Androidversie van Signal werd ontdekt door Google-onderzoeker Natalie Silvanovich. Het ging om een logische fout waardoor Signal een inkomend gesprek beantwoordde nog voordat de gebelde persoon opnam. Op deze manier was het mogelijk om de microfoon op afstand en zonder interactie van de gebruiker in te schakelen. Een aanvaller zou via een aangepaste versie van Signal een bericht naar de telefoon van het doelwit kunnen sturen terwijl het inkomende gesprek gaande was.

Via dit bericht was het mogelijk om de telefoon van het doelwit het gesprek te laten beantwoorden. Het ging hierbij alleen om audiogesprekken, aangezien de gebruiker video in gesprekken handmatig moet inschakelen. De iOS-versie heeft met een soortgelijk probleem te maken, maar daar bleek het door een fout in de gebruikersinterface toch niet mogelijk om de aanval werkend te krijgen.

De ontwikkelaars van Signal hebben een beveiligingsupdate uitgebracht die het probleem verhelpt. Gebruikers krijgen dan ook het advies om naar de laatste versie te updaten. Signal-ontwikkelaar Moxie Marlinspike laat op Twitter weten dat de telefoon wel zou rinkelen en zou laten zien dat er werd gebeld. Daarnaast zou het beantwoordde gesprek in het overzicht van de gesprekslijst zichtbaar zijn. Het was dan ook niet mogelijk om de microfoon stilletjes in te schakelen, aldus Marlinspike.

 

 

bron: security.nl