Angesichts der Kontroverse um uns um uns auf Signal geteilte Angriffspläne steht die Sicherheit von Messaging -Apps im Rampenlicht.
Nur drei Tage nachdem der US-Verteidigungsminister Pete Hegseth im nationalen Fernsehen, dass Amerika „nicht mehr wie Dummköpfe aussah“, stellte sich heraus, dass er Teil einer Gruppe hochrangiger Beamter war, die, die versehentlich geschriebene Pläne für einen Angriff im Jemen auf einen Journalisten.
Hegseth hatte neben Vizepräsident JD Vance, Außenminister Marco Rubio, National Security Advisor Michael Waltz und anderen das Signal der Messaging -Plattform verwendet, um hochempfindliche und klassifizierte Informationen zu diskutieren.
Demokratische Gesetzgeber verurteilten dies schnell als „ungeheuerliche“ Sicherheitsverletzung, und US -Präsident Donald Trump wusste „nichts darüber“, wie sein Team behauptete ein „Pannen“ war schuld für die Hinzufügung des Journalisten Jeffrey Goldberg zu einer Nachrichtenkette namens „Houthi PC Small Group“.
Obwohl verschlüsselt und technisch sicher, ist die Plattform „voller Risiken“ im Zusammenhang mit menschlichem Fehler und Spyware und war nicht die geeignete Wahl für ein solches Gespräch, argumentiert Callum Voge, Direktor für Regierungsangelegenheiten und Interessenvertretung bei der Internet Society.
„Regierungen haben spezifische Protokolle zum Schutz der klassifizierten Informationen, und diese Protokolle geben normalerweise an, dass klassifizierte Informationen nur unter bestimmten Bedingungen geteilt werden können. Wenn Menschen sagen, dass Signal nicht für den Austausch von staatlichen Geheimnissen geeignet ist, geht es nicht nur um Signal – es geht um eine Verbraucher -Messaging -App.
Eine wichtige Gefahr ist das Signal ist der breiten Öffentlichkeit erhältlich und von Millionen weltweit verwendet.
„Jeder auf der Welt kann ein Signalkonto erstellen. So kann beispielsweise jemand ohne Sicherheitsabschluss versehentlich zu einem Gruppenchat hinzugefügt werden. Das ist eine Möglichkeit, wie Geheimnisse ausgetragen werden könnten – durch Zufall, menschliches Versagen oder absichtlich“, fügte Voge hinzu.
„Außerdem wird Signal auf persönlichen Geräten verwendet. Dadurch wird das Risiko einer Spyware eingeführt – Software, mit der auf Ihrem Gerät in Echtzeit aufgezeichnet wird, und es an einen Dritten senden. Selbst wenn Signal die sichere App der Welt ist, ist es immer noch ein Leck.“
Warnungensignal war ein Ziel für Hacker
Tatsächlich gab das Pentagon nur wenige Tage nach dem Chat-Leck der Signalgruppe ein abteilungsweites Memo heraus und warnte, dass russische professionelle Hacking-Gruppen aktiv auf die App abzielen.
Laut dem Memo nutzten die Angreifer die „Linked Devices“ -Funktion von Signal – eine legitime Funktion, mit der Benutzer auf mehrere Geräte auf ihr Konto zugreifen können – um verschlüsselte Gespräche auszuspionieren.
„Die Wirksamkeit des Signals hängt von der Sicherheit des verwendeten Geräts ab. Es ist wie die Installation des sichersten Alarmsystems in einem Haus ohne Türen“, sagte Gustavo Alito, Cybersecurity -Experte bei Equans Belux.
„Wenn ein Gerät beeinträchtigt wird – sei es über Malware, unbefugtem Zugriff oder anspruchsvolle Spyware wie Pegasus – wird die Verschlüsselung irrelevant. Angreifer können alle Geräteaktivitäten in Echtzeit überwachen und erfassen, einschließlich der geschriebenen Nachrichten“, sagte er als nächstes gegenüber Euronews.
„Eine überraschende Entwicklung in diesem Fall ist, dass Berichte darauf hinweisen, dass das Signal in den US-Regierungsgeräten vorinstalliert war. Dies deutet jedoch auf einen institutionellen Vorstoß auf verschlüsselte Kommunikation hin, sie wirft auch Bedenken auf“, fügte Alito hinzu.
„Die Tatsache, dass das Signal weit verbreitet ist, hat möglicherweise die Beamten dazu gebracht, angenommen zu werden, dass es für klassifizierte Diskussionen genehmigt wurde, trotz der Warnungen der NSA und des Verteidigungsministeriums, es für sensible Angelegenheiten zu verwenden“.
Signal, Wechat, WhatsApp, Telegram: Welches ist die sichere Plattform?
Am unteren Ende des Spektrums, in dem Nachrichten am anfälligsten sind, befinden sich Plattformen, auf denen entweder eine End-to-End-Verschlüsselung fehlt oder sie standardmäßig nicht aktivieren.
Laut Voge „bedeutet das“ das bedeutet, dass es von Endpunkt zu Endpunkt verschlüsselt ist. Zum Beispiel ist ein Endpunkt Ihr Telefon und der andere gehört mir – und da der Gespräch oder der Text zwischen uns hin und her geht, kann kein Dritter es entschlüsseln, nicht einmal der Anbieter „.
Apps wie WeChat bieten beispielsweise keine End-to-End-Verschlüsselung an, was bedeutet, dass der Dienstleister oder die Regierungsbehörden möglicherweise auf Nachrichten zugegriffen werden können-ein großes Problem in Ländern wie China.
In ähnlicher Weise verschlüsselt Telegram keine Gruppenchats oder sogar Einzelgeschwindigkeiten standardmäßig. Benutzer müssen „geheime Chats“ manuell für den End-to-End-Schutz aktivieren. Aus diesem Grund sind Nachrichten auf diesen Plattformen anfälliger für Abfangen.
Am Ende der Hochsicherheit befinden sich Apps wie Signal, WhatsApp und in begrenztem Umfang iMessage, die alle standardmäßig eine End-to-End-Verschlüsselung bieten.
Unter ihnen fällt das Signal für sein Open-Source-Protokoll, die gemeinnützige Governance, die minimale Metadaten-Aufbewahrung und die Standardverschlüsselung über Nachrichten, Anrufe und Gruppen-Chats auf.
WhatsApp, während er auch mit dem Protokoll von Signal verschlüsselt ist, gehört Meta und behält mehr Metadaten bei, was einige als potenzielle Anfälligkeit ansehen. iMessage gilt als technisch sicher, aber es handelt sich um ein System mit geschlossenem Quellen, das nur die Transparenz und die Prüfung einschränkt.
Also, Signal wird von Experten häufig als Goldstandard für verschlüsselte Messaging angesehen. Wie wir gerade gesehen haben, ist es jedoch nicht immun gegen Risiken, die sich aus Benutzerfehlern, Gerätemomis oder Missbrauch in Kontexten ergeben, die klassifizierte Kommunikationsprotokolle erfordern.
„Wie jedes Unternehmen prüft Signal regelmäßig andere Teile ihrer App – z. B. wie Benutzer ihre Telefonnummern überprüfen oder neue Geräte hinzufügen. Manchmal treten Probleme auf und reagieren mit Sicherheitspatches, die sie auf ihrer Website mit Details veröffentlichen“, sagte Voge.
„Sie haben vielleicht von einer kürzlich in der Ukraine verwendeten Schwachstelle mit Russland gehört. Dies war ein Phishing -Angriff: Angreifer schickten gefälschte QR -Codes, um Menschen dazu zu bringen, Signalgruppen anzuschließen. Als jemand den Code scannte, verband er ein neues Gerät mit ihrem Konto – fuhr er fort.“
„Es war kein Fehler im Verschlüsselungsprotokoll, aber bei der Verknüpfung des Signal -Getriebes. Signal reagierte mit einem Update. Wenn Sie nun ein neues Gerät verknüpfen möchten, benötigen Sie eine Gesichts -ID oder eine Berührungs -ID“.
Was ist der beste Weg, um sich sicher zu Nachrichten zu versorgen?
Was sollten Hegseth, Vance, Waltz und der Rest der kleinen Gruppe von Houthi PC stattdessen getan haben?
Die US -Regierung hat mit ziemlicher Sicherheit ihre eigenen Systeme zum Umgang mit klassifizierten Informationen.
„Es wird allgemein erwartet, dass Regierungsbeamte spezielle Geräte und Systeme verwenden, die der Öffentlichkeit nicht zur Verfügung stehen. Sie können sich eine Plattform vorstellen, die nur Regierungsbeamte herunterladen können, und möglicherweise sogar ein integriertes Maß an Klassifizierung – wie vertraulich, geheim und hoches Geheimnis“, sagte Voge.
In der Tat birgt er „eine Regierungsumgebung, in der Beamte in einen sicheren Raum gehen, ihre persönlichen Geräte hinter sich lassen und einen speziellen Computer verwenden, der nicht mit dem Internet verbunden ist, um auf vertrauliche Informationen zuzugreifen“.
„Seit Menschen reisen, gibt es wahrscheinlich staatliche Netzwerke oder Apps, die nur für Beamte zugänglich sind, die von Regierungsgeräten bereitgestellt werden. Diese Systeme wären der Öffentlichkeit nicht zur Verfügung und verfügen wahrscheinlich über integrierte Möglichkeiten zur Behandlung der Klassifizierungsniveaus“, fügte er hinzu.
Oder, wie Alito es ausdrückt, „ein von der Regierung genehmigter, von End-to-End-Verschlüsselungssystem speziell für klassifizierte Kommunikation entwickelt wurde. Sichere Plattformen wie das Secure Communications Interoperability Protocol (SCIP) der NSA (SCIP) oder klassifizierte Netzwerke wie SIPRNET und JWICs sind mehr den Sicherheits- und Enge-Bedürfnissen einer Regierungsorganisation übereinstimmen“.
Das System sollte auch Aufzeichnungen über Gespräche ermöglichen, die die Gesetze zur Aufzeichnung von Aufzeichnungen verbinden.
„Einige Regierungen verlangen die politischen Entscheidungsträger, eine Aufzeichnung ihrer Nachrichten oder E -Mails aufzubewahren. Signal verfügt jedoch über Funktionen wie das Verschwinden von Nachrichten. Wenn Regierungsbeamte sie verwenden, kann diese Kommunikationsakten verloren gehen, was gegen Transparenz- oder Rechenschaftspflichtgesetze verstoßen kann“, sagte Voge.
