Gelöscht und doch nicht weg: Signal speichert Nachrichten länger als erwartet

Der verschlüsselte Messenger Signal nimmt es mit dem Entfernen gelöschter Nachrichten nicht so genau wie erwartet, hat der Sicherheitsforscher Harry Sintonen herausgefunden. Er meldete das Problem an die zuständigen Ansprechpartner und erhielt ein halbes Jahr lang keine Rückmeldung. Nun geht er an die Öffentlichkeit.

Die Signal-App nutzt eine verschlüsselte SQLite-Datenbank zur Speicherung aller Nachrichten. Die speichert Transaktionen, also auch geplante Löschungen, in einem sogenannten Write-Ahead Log zwischen, das zu bestimmten Gelegenheiten abgearbeitet wird. Löscht ein Nutzer eine Nachricht in der Signal-App (oder nutzt deren „verschwindende Nachrichten“), wird der entsprechende Datenbankeintrag aus der App ausgeblendet und im Write-Ahead Log zur Löschung markiert. Bis diese Löschung ausgeführt wird und somit die Nachricht vom Gerät verschwindet, können nach Sintonens Aussage Tage, bei wenig genutzten Signal-Instanzen gar Wochen vergehen.

Die verschlüsselte SQLite-Datenbank ist eine simple Datei. Sichert der Nutzer die Daten seiner Signal-App regelmäßig, etwa über die stündliche Sicherung bei Apples Time Machine, so können es Datenbankdateien mit eigentlich gelöschten Nachrichten in ein Backup schaffen und dort auf unbestimmte Zeit verweilen. Zumindest liegen sie dort nicht im Klartext: Die SQLcipher-Datenbank der Signal-App ist verschlüsselt. Ein Angreifer, der Nachrichten lesen möchte, müsste diese Verschlüsselung knacken oder die Schlüssel beim Nutzer abziehen. Das ist etwa über einen Infostealer denkbar, denn Signal bietet Desktop-Apps für Linux, Windows und macOS an.

Risiko meist nicht sehr hoch

Für Nutzer, die Signal recht intensiv verwenden, ist das Risiko gering, dass gelöschte Nachrichten lange auf dem Gerät verweilen. Denn das Write Ahead Log wird nach Erreichen einer bestimmten Größe abgearbeitet und geleert. Wer sicher gehen will, dass die gelöschte Nachricht sofort weg ist, startet einfach die App neu – auch das arbeitet das Write Ahead Log ab.

Mögliche Angriffe und Datenlecks dürften sich auf die offeneren Desktop-Betriebssysteme beschränken – deren Nutzer sollten sichergehen, dass sensible Nachrichten nicht versehentlich in einem Time-Machine-Backup landen. Wer ganz auf Nummer Sicher geht, verbannt die Signal-App vom Schreibtischrechner und nutzt sie nur auf dem Smartphone.

Signal-Team ignoriert Forscher

Der Veröffentlichung ging eine halbjährige Wartezeit voraus. Bereits im November 2025 wandte sich Sintonen an Signals Sicherheitsteam, erhielt aber keine Antwort. Auch Kontaktversuche im April blieben ohne Erfolg. Nachdem Signal 180 Tage lang untätig geblieben war, entschied der Sicherheitsforscher sich, die Lücke in einem Advisory zu veröffentlichen. Es enthält auch einen „Proof of Concept“, mit dem man das Problem selbst nachvollziehen kann. Putziges Detail: Die Beispielnachricht „KENSENTME“ dürfte Liebhabern der Sierra-Grafikadventures der Achtziger bekannt vorkommen.

Der Messenger Signal ist derzeit Ziel großangelegter Phishing-Kampagnen, denen unter anderem Bundespolitiker zum Opfer fielen. Die „Signal-Affäre“ wurde jedoch nicht durch Sicherheitslücken in der App, sondern geschickten Betrug an den Opfern ausgelöst. Signal kümmert sich nun um Gegenmaßnahmen.

(cku)