Datenschutz & Sicherheit
Gelöscht und doch nicht weg: Signal speichert Nachrichten länger als erwartet
Der verschlüsselte Messenger Signal nimmt es mit dem Entfernen gelöschter Nachrichten nicht so genau wie erwartet, hat der Sicherheitsforscher Harry Sintonen herausgefunden. Er meldete das Problem an die zuständigen Ansprechpartner und erhielt ein halbes Jahr lang keine Rückmeldung. Nun geht er an die Öffentlichkeit.
Weiterlesen nach der Anzeige
Die Signal-App nutzt eine verschlüsselte SQLite-Datenbank zur Speicherung aller Nachrichten. Die speichert Transaktionen, also auch geplante Löschungen, in einem sogenannten Write-Ahead Log zwischen, das zu bestimmten Gelegenheiten abgearbeitet wird. Löscht ein Nutzer eine Nachricht in der Signal-App (oder nutzt deren „verschwindende Nachrichten“), wird der entsprechende Datenbankeintrag aus der App ausgeblendet und im Write-Ahead Log zur Löschung markiert. Bis diese Löschung ausgeführt wird und somit die Nachricht vom Gerät verschwindet, können nach Sintonens Aussage Tage, bei wenig genutzten Signal-Instanzen gar Wochen vergehen.
Die verschlüsselte SQLite-Datenbank ist eine simple Datei. Sichert der Nutzer die Daten seiner Signal-App regelmäßig, etwa über die stündliche Sicherung bei Apples Time Machine, so können es Datenbankdateien mit eigentlich gelöschten Nachrichten in ein Backup schaffen und dort auf unbestimmte Zeit verweilen. Zumindest liegen sie dort nicht im Klartext: Die SQLcipher-Datenbank der Signal-App ist verschlüsselt. Ein Angreifer, der Nachrichten lesen möchte, müsste diese Verschlüsselung knacken oder die Schlüssel beim Nutzer abziehen. Das ist etwa über einen Infostealer denkbar, denn Signal bietet Desktop-Apps für Linux, Windows und macOS an.
Risiko meist nicht sehr hoch
Für Nutzer, die Signal recht intensiv verwenden, ist das Risiko gering, dass gelöschte Nachrichten lange auf dem Gerät verweilen. Denn das Write Ahead Log wird nach Erreichen einer bestimmten Größe abgearbeitet und geleert. Wer sicher gehen will, dass die gelöschte Nachricht sofort weg ist, startet einfach die App neu – auch das arbeitet das Write Ahead Log ab.
Mögliche Angriffe und Datenlecks dürften sich auf die offeneren Desktop-Betriebssysteme beschränken – deren Nutzer sollten sichergehen, dass sensible Nachrichten nicht versehentlich in einem Time-Machine-Backup landen. Wer ganz auf Nummer Sicher geht, verbannt die Signal-App vom Schreibtischrechner und nutzt sie nur auf dem Smartphone.
Signal-Team ignoriert Forscher
Weiterlesen nach der Anzeige
Der Veröffentlichung ging eine halbjährige Wartezeit voraus. Bereits im November 2025 wandte sich Sintonen an Signals Sicherheitsteam, erhielt aber keine Antwort. Auch Kontaktversuche im April blieben ohne Erfolg. Nachdem Signal 180 Tage lang untätig geblieben war, entschied der Sicherheitsforscher sich, die Lücke in einem Advisory zu veröffentlichen. Es enthält auch einen „Proof of Concept“, mit dem man das Problem selbst nachvollziehen kann. Putziges Detail: Die Beispielnachricht „KENSENTME“ dürfte Liebhabern der Sierra-Grafikadventures der Achtziger bekannt vorkommen.

Als Leisure Suit Larry im Jahr 1987 das Passwort „Ken sent me“ nutzte, um ins Kneipen-Hinterzimmer zu kommen, war von verschlüsselten Messengern noch keine Rede.
Der Messenger Signal ist derzeit Ziel großangelegter Phishing-Kampagnen, denen unter anderem Bundespolitiker zum Opfer fielen. Die „Signal-Affäre“ wurde jedoch nicht durch Sicherheitslücken in der App, sondern geschickten Betrug an den Opfern ausgelöst. Signal kümmert sich nun um Gegenmaßnahmen.
(cku)
Datenschutz & Sicherheit
Lernplattform ILIAS: Aktualisierungen beseitigen mehrere Angriffsmöglichkeiten
Für die von Hochschulen, Kliniken und anderen öffentlichen Institutionen genutzte offene Lernplattform ILIAS stehen Aktualisierungen bereit. Die neuen Versionen 9.21, 10.9 und 11.2 schließen Sicherheitslücken, von denen alle früheren Ausgaben betroffen waren. Von drei Lücken geht ein hohes, von den übrigen ein mittleres Sicherheitsrisiko aus.
Weiterlesen nach der Anzeige
Der Warn- und -Informationsdienst des CERT-Bund bewertet die Gefahr in ihrer Gesamtheit gar als kritisch. Angreifer könnten sie demnach unter bestimmten Voraussetzungen missbrauchen, um Sicherheitsvorkehrungen zu umgehen, sensible Informationen offenzulegen oder Cross-Site-Scripting-Angriffe durchzuführen.
Admins sollten die bereitstehenden Updates einspielen. Aktive Angriffe auf Basis der Lücken wurden indes noch nicht beobachtet.
Release- und weitere Informationen
Das Entwicklerteam hat allgemeine Informationen zu den Neuerungen der aktuellen Versionen veröffentlicht. Ihnen sind zugleich auch die Download-Links zum Aktualisieren zu entnehmen.
Zusätzlich wurden separate Sicherheitshinweise – allerdings von eher geringem Informationsgehalt – veröffentlicht:
Weiterlesen nach der Anzeige
(ovw)
Datenschutz & Sicherheit
Videoanalyse für die Bundespolizei: Bahnhofs-Kameras sollen Menschen und ihr Verhalten erkennen
Zahlreiche Bundesländer haben ihren Polizeien bereits Software-gestützte Echtzeit-Videoanalyse erlaubt, nun zieht die Bundesregierung nach. Die Bundespolizei soll künftig automatisiert die Bilder von Kameras prüfen. Software soll nach bestimmten Gesichtern suchen und identifizieren, wer gerade was tut. Die Bundespolizei könnte die Technologien an Bahnhöfen, aber auch an Häfen und Flughäfen einsetzen.
Ein Änderungsantrag zu einem der drei Sicherheitsgesetze, die gerade durch den Bundestag gedrängt werden, erweitert die geplanten KI-Überwachungsbefugnisse massiv. Bislang beinhalteten sie die Erlaubnis, im Internet nach bestimmten Gesichtern zu suchen und Datenanalysen nach Palantir-Art durchzuführen. Nun kommt noch die automatisierte Auswertung von Videobildern hinzu. Der Antrag wurde gestern eingereicht und wird am heutigen Mittwoch im Innenausschuss debattiert. Das entsprechend reformierte Bundespolizeigesetz soll bereits am Freitag im Bundestag verabschiedet werden.
Mit zwei verschiedenen Technologien soll die Bundespolizei künftig die Live-Streams von Videokameras untersuchen dürfen. Eine wird aktuell bereits in Frankfurt am Main getestet. Dabei werden die Gesichter aller Passant*innen vermessen und mit einer Liste von gesuchten Gesichtern abgeglichen. Stimmt ein Gesicht im videoüberwachten Areal mit einer gewissen Wahrscheinlichkeit mit einem gesuchten Gesicht überein, schlägt die Software Alarm.
Alles, was erlaubt ist
Die KI-Verordnung der EU setzt derartiger Live-Gesichtserkennung enge Grenzen. Sie darf nur in bestimmten Fällen angewendet werden. Die Bundespolizei soll beinahe alle diese Verbotslücken ausnutzen. Sie soll mit der Technologie nach Menschen suchen, die das Leben einer Person oder die Sicherheit der Bundesrepublik gefährden, nach Menschen, denen vorgeworfen wird, eine kriminelle Vereinigung gebildet zu haben, nach Menschen, die mutmaßlich Opfer von Entführung, Menschenhandel oder sexueller Ausbeutung sind oder vermissten Personen, die sich in Lebensgefahr befinden. Die Maßnahme muss richterlich angeordnet werden, Treffer müssen von zwei Polizist*innen geprüft werden. Mit der Begrenzung glaubt die Bundesregierung, sich noch innerhalb des Rahmens der KI-Verordnung zu bewegen.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Die andere Technologie, mit der die Bundespolizei Videostreams durchsuchen soll, prüft automatisiert, was die abgebildeten Menschen gerade tun. Derartige Software wird bereits in der Mannheimer und der Hamburger Innenstadt erprobt. Berlin bereitet den Einsatz vor. Sie ordnet menschliche Bewegungen in Kategorien ein wie: „Tanzen“, „Rennen“ oder „einander Umarmen“. Findet sie etwa Bewegungen, die auf einen Kampf hindeuten, weist sie die wachhabenden Beamt*innen auf die Situation hin. Auch die Wahrnehmung mutmaßlich hilfloser Menschen führt zu einer derartigen Alarmierung. Die Hilflosigkeit wird dann wohl mindestens bei liegenden Tätigkeiten angenommen. Kritiker*innen weisen darauf hin, dass dieser polizeiliche Fokus zu einer Diskriminierung von obdachlosen Menschen führt.
Außerdem soll die Software selbstständig Waffen detektieren und Personen, die einer Straftat verdächtig sind, automatisiert über mehrere Kameras hinweg verfolgen. Laut Gesetzesbegründung ist es auch möglich, Personen zu identifizieren, die sich ungewöhnlich lange in einem Bereich aufhalten. So sollen potenziell suizidale Menschen von der Umsetzung des Suizids abgehalten werden.
Laut dem Gesetzespaket dürfen die beiden Programme dann auch mit den Gesichtern und dem Verhalten von Bürger*innen trainiert werden. Nach zwei Jahren soll es eine Evaluierung der Befugnisse geben. Die wird „im Zusammenwirken mit“ einer wissenschaftlichen Einrichtung, also nicht unabhängig, erstellt.
Datenschutz & Sicherheit
Sicherheitsalbtraum Wechselrichter: Hoymiles lässt Nachbarschaften verstummen
Der Ausbau der dezentralen Energieerzeugung offenbart immer wieder Defizite bei der IT-Sicherheit marktführender Hardware. Im Fokus steht erneut die chinesische Firma Hoymiles, die nach eigenen Angaben rund 20 Prozent des europäischen Marktes für Mikrowechselrichter bedient. Diese sind in Balkonkraftwerken und kleineren Dachsolaranlagen verbaut. Der Sicherheitsforscher Benedikt Heinz alias Hunz hat zusammen mit dem Chaos Computer Club (CCC) weitreichende Sicherheitslücken aufgedeckt: Mit einfachen Mitteln aus der elektronischen Grabbelkiste und wenig Know-how ist es demnach möglich, Solaranlagen in der Nachbarschaft im Vorbeifahren zu manipulieren, abzuschalten oder dauerhaft unbrauchbar zu machen.
Weiterlesen nach der Anzeige
Das Problem liegt laut den Schwachstellenbeschreibungen in den Funkprotokollen, über die die Wechselrichter der HM- sowie der HMS- und HMT-Serien mit den zugehörigen Steuereinheiten kommunizieren. Der Austausch erfolgt unverschlüsselt über die Frequenzbänder 868 MHz und 2,4 GHz. Hobby-Bastler und Open-Source-Projekte wie OpenDTU oder AhoyDTU gingen bisher davon aus, dass Angriffe zumindest die Kenntnis der individuellen Seriennummer des Geräts voraussetzen. Doch Hunz entdeckte eine undokumentierte Funktion in der Firmware. Wird dieser Rundrufbefehl ausgesendet, antworten alle erreichbaren Hoymiles-Wechselrichter in der Umgebung und übermitteln ihre Seriennummer im Klartext per Funk.
Massenhafte Lokalisierung und Fernsteuerung
Bei experimentellen Tests reichte ein modifizierter, handlicher Scanner aus, um innerhalb von 20 Minuten zwei Dutzend fremde Wechselrichter samt ihrer eindeutigen Identifikationsnummern und Modell-IDs zu lokalisieren. Da die Reichweite der Funksignale mehrere hundert Meter betragen kann, ließe sich eine solche Angriffshardware sogar problemlos auf eine Drohne montieren, um ganze Wohngebiete systematisch zu erfassen.
Sobald ein Angreifer im Besitz der Seriennummern ist, steht ihm das ganze Spektrum der Gerätefernsteuerung offen. Da die Integrität der Datenpakete nur durch simple Prüfsummen geschützt wird, die sich bei Modifikationen mathematisch leicht neu berechnen lassen, existiert keine echte Authentifizierung.
Ein Angreifer kann die Wechselrichter nach Belieben ein- oder ausschalten und Leistungslimits manipulieren. Über den ungeschützten Funkbefehl zur Aktualisierung der Firmware lässt sich sogar Schadsoftware einschleusen. Der Forscher demonstrierte das anhand eines eigenen Test-Programms, das die Relais und LEDs des Wechselrichters in Dauerschleife schaltete. Werden gezielt sensible Netzparameter verändert oder die internen Speicherbereiche des Bootloaders gelöscht, drohen Brände, elektrische Unfälle oder die Zerstörung des Geräts. Das lässt sich danach nur noch durch Öffnen des Gehäuses reparieren.
Ignoranz der Behörden und CCC-Appell
Weiterlesen nach der Anzeige
Hersteller Hoymiles reagierte im Rahmen des Disclosure-Prozesses irritiert bis gar nicht und stellte bisher keinen Patch zur Verfügung. Auch staatliche Aufsichtsbehörden winkten ab: Mögliche plötzliche Leistungseinbrüche im Gigawatt-Bereich durch ein koordiniertes Abschalten von Solaranlagen könnten von den Netzbetreibern abgefangen werden. Der CCC warnt indes vor einem systemischen Risiko und einer Wild-West-Manier beim Ausbau des Internet of Things (IoT). IT-Sicherheit im Energiesektor dürfe nicht erst bei Großkraftwerken anfangen, sondern müsse auch im Vorgarten und auf dem Balkon gelten.
Die Hacker fordern verbindliche Mindeststandards und ein Verbot von Einspeisegeräten in der EU, die Firmware-Updates ohne kryptografische Authentifizierung via Funk akzeptieren. Bis echte Patches vorliegen, bleibt Betreibern als Notlösung nur, über die Original-Software ein Diebstahlschutzpasswort zu vergeben, die Abfrageintervalle in Open-Source-Tools drastisch zu erhöhen oder die Solarmodule physisch vom Wechselrichter zu trennen.
(cku)
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Künstliche Intelligenzvor 3 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 3 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
-
UX/UI & Webdesignvor 2 TagenRegional & mit Gefühl: Identity für Klimafonds Baden-Württemberg › PAGE online
