Ook veilige chatapp Signal is niet waterdicht

Het lek is op 28 september ontdekt door ethische hackers van Project Zero, het eliteteam van Google. Zij hebben de kwetsbaarheid bij Signal gemeld. De ontwikkelaar roept Android-gebruikers op hun app te updaten naar versie 4.47.7 zodat ze niet meer vatbaar zijn. 

Bellen met hacker

Google-hacker Natalie Silvanovich legt in een blogpost uit dat de beveiligingsfout zit in de manier waarop de Signal-app inkomende audio-oproepen afhandelt. Wordt iemand gebeld en heeft hij de oproep nog niet geaccepteerd, dan kan een hacker met een aangepaste Signal-app het gesprek kapen en opnemen. De gebruiker voor wie het gesprek bedoeld was, kan hier niets aan veranderen. De beller krijgt een heel ander iemand aan de lijn. 

Volgens de Google-hackers treft het lek alleen de Android-app van Signal, en niet de iOS-versie of desktopclient. Die nemen telefoongesprekken op een iets andere manier aan. En omdat de Android-app een inkomend videogesprek alleen accepteert als de feature per gesprek handmatig is ingeschakeld, heeft de kwetsbaarheid alleen betrekking op audiogesprekken.

FaceTime-bug

Eerder dit jaar trof een vergelijkbare kwetsbaarheid de FaceTime-app op Apple-apparaten. Een bug liet een hacker meeluisteren naar de audio aan de andere kant van de lijn voordat diegene opnam. Apple schakelde de feature toen tijdelijk uit terwijl het aan een fix werkte.