1 Punkte von GN⁺ 2025-05-04 | 1 Kommentare | Auf WhatsApp teilen
  • Auf einem Foto von Mike Waltz’ Mobiltelefon ist zu sehen, dass er offenbar eine inoffizielle Signal-Version zur Nachrichtenarchivierung verwendet
  • Waltz war bis Donnerstag Nationaler Sicherheitsberater der USA, wodurch die Frage an Gewicht gewinnt, welche Einstufung von Informationen Regierungsbeamte in Signal besprechen
  • Ein Reuters-Foto zeigt, wie Waltz während einer von Donald Trump geleiteten Kabinettssitzung im Weißen Haus auf sein Telefon blickt
  • Auf dem Bildschirm sind offenbar Nachrichten von hochrangigen Regierungsvertretern wie JD Vance, Tulsi Gabbard und Marco Rubio zu sehen
  • Am unteren Bildschirmrand ist ein Hinweis zu sehen, der wie die übliche PIN-Bestätigungsnachricht von Signal aussieht, wodurch sowohl der Schutz vor Kontoübernahmen als auch die Art der Nachrichtenarchivierung in den Fokus rücken

Inoffizielle Signal-Nutzung durch Foto offengelegt

  • Auf einem Foto von Mike Waltz’ Mobiltelefon wurde die Nutzung einer App erkennbar, die wie eine inoffizielle Version von Signal aussieht
  • Diese Version gilt als App, die für die Archivierung von Nachrichten entwickelt wurde
  • Waltz war bis Donnerstag National Security Advisor der USA

Kontext des Reuters-Fotos

  • Das von Reuters veröffentlichte Foto zeigt, wie Waltz während einer von Donald Trump im Weißen Haus abgehaltenen Kabinettssitzung auf sein Telefon schaut
  • Auf dem Bildschirm sind Nachrichten mehrerer hochrangiger Regierungsvertreter zu sehen
    • JD Vance
    • Tulsi Gabbard
    • Marco Rubio

Signal-PIN-Nachricht und Sicherheitskontext

  • Am unteren Rand von Waltz’ Telefonbildschirm ist ein Text zu sehen, der wie die übliche PIN-Bestätigungsnachricht von Signal aussieht
  • Die PIN-Bestätigungsnachricht von Signal kann angezeigt werden, um Nutzer daran zu erinnern, sich an ihre PIN zu erinnern
  • Die PIN kann dazu dienen, zu verhindern, dass andere das Konto übernehmen

Offene praktische Fragen

  • Wenn die inoffizielle Signal-Version zur Archivierung von Nachrichten genutzt wird, ist die zentrale Frage, welche Einstufung von Informationen Regierungsbeamte in dieser App besprechen
  • Offen bleibt auch, wie die archivierten Daten sicherheitstechnisch behandelt werden

1 Kommentare

 
GN⁺ 2025-05-04
Meinungen auf Hacker News
  • https://archive.ph/oXYXe

  • Regierungsbehörden haben auch früher schon für Versionen von verschlüsselten Messengern mit Archivierungsfunktion bezahlt. 2021 zahlte CBP 700.000 Dollar an Wickr.
    Das wirkt wie ein Anwendungsfall, der geradezu dafür gemacht ist, Signal zu unterstützen. Große Unternehmen oder Regierungsbehörden könnten die App-Entwickler direkt für einen maßgeschneiderten Fork bezahlen; ich verstehe nicht, warum TeleMessage dafür Geld bekommt. Macht es die Signal Foundation nicht einfach, kostenpflichtige Forks umzusetzen?

    • Wenn Signal finanziell von Regierungsaufträgen abhängig wird, bekommt die Regierung großen Einfluss auf die App. Es wirkt nicht besonders wünschenswert, dass diese Plattform in eine solche Position gerät.
    • Wickr gehört AWS und ist inzwischen nur noch ein Produkt für Behörden/Unternehmen. Die Version für Privatnutzer wurde eingestellt.
    • Vermutlich bestehen 90 % der Arbeit nicht aus Code, sondern aus Compliance und dem Durchlaufen der Beschaffungsprozesse der Regierung.
    • Signal muss möglicherweise alle Ressourcen in die Entwicklung der Haupt-App stecken, um seiner eigentlichen Mission nachzukommen: sichere Kommunikation für die breite Öffentlichkeit.
    • Katherine Maher, CEO von NPR, ist Vorsitzende des Vorstands der Signal Foundation.
  • „TM SGNL“ scheint sich auf Software der Firma TeleMessage zu beziehen. Dieses Unternehmen erstellt Klone beliebter Messenger-Apps und fügt jeder App eine Archivierungsfunktion hinzu.

    • Beängstigend. Es ist nicht einmal eine US-Firma.
  • Ich verstehe nicht, welchen Sinn es hat, Signal zu verwenden, wenn man gleichzeitig zulässt, dass ein ausländisches Unternehmen die Kommunikation abgreift. Vermutlich wollten sie die UX eines kommerziellen Produkts statt der holprigen Nutzererfahrung einer behördlich zugelassenen App, aber weiß jemand, was die Alternative gewesen wäre?

    • Es ergibt viel mehr Sinn, wenn man gar nicht erst annimmt, dass diese Leute auch nur ein Mindestmaß an Urteilsvermögen besitzen.
      Signal ist für Regierungszwecke zugelassen, aber nicht für nicht öffentliche Informationen des Verteidigungsministeriums. Für Dinge wie „Komm in den SCIF, dort besprechen wir die Details“ kann man Signal verwenden; die eigentlichen Details sollten in einer sicheren Umgebung besprochen werden.
    • Traditionell hat man für den Austausch nicht geheimer Informationen einfach das normale Telefonnetz genutzt. Laut CISA gelten die Sprach- und SMS-Dienste der großen Anbieter aber nicht mehr als sicher.
      CISA empfahl stattdessen die Nutzung Ende-zu-Ende-verschlüsselter Dienste und nannte dabei ausdrücklich Signal.
      https://investigations.cooley.com/2025/01/15/federal-law-enf...
    • Die Alternative besteht darin, Signal nicht auf einem mit Spyware infizierten Smartphone zu installieren. Das ist kein „Abgreifen“ im Sinne eines Man-in-the-Middle-Angriffs, sondern funktioniert, indem das persönliche Smartphone, auf dem Signal installiert ist, überwacht und ausgelesen wird.
      Signal ist am Ende auch nur eine App auf dem Smartphone. Wenn es für geheime Kommunikation genutzt werden soll, sollte auf diesem Gerät so wenig Software wie möglich laufen — oder gar keine zusätzliche — und es sollte mit Passwörtern, Verschlüsselung und allen verfügbaren Mitteln geschützt werden.
    • Vielleicht mussten sie ihren ausländischen Handlern mitteilen, was sie tun. Steht vielleicht irgendwo im Vertrag.
  • Ich frage mich, ob man wegen der Archivierung wirklich Sicherheitslücken in Kauf nehmen muss. Man könnte Israel und Pegasus ohnehin um eine Kopie des Archivs bitten.

    • Moment, das war ja eine israelische Firma.
  • Ein paar Details: TeleMessage war oder ist ein israelisches Unternehmen [1], wurde aber im vergangenen Jahr vom US-Unternehmen Smarsh [2] übernommen; Smarsh selbst ist wiederum eine Tochter von K1 Investment Management, ebenfalls aus den USA. Ob das Unternehmen umgezogen ist, weiß ich nicht.
    Vielleicht nicht direkt relevant, aber in den Nutzungsbedingungen findet sich auch eine eigene Klausel zu Messaging in China, die offenbar Offenlegungen gegenüber der chinesischen Regierung einschließt. Unklar ist, wie die App funktioniert. Sie wird wie ein Fork des Signal-Clients beworben und scheint alles auf Remote-Server hochzuladen; damit wäre die Ende-zu-Ende-Verschlüsselung natürlich gebrochen, sofern man das Archiv nicht als einen der Empfangs-Endpunkte betrachtet und diese Verbindung als sicher annimmt. Offenbar wird auch damit geworben, dass die Oberfläche der von Signal entspricht.
    Allerdings stehen sowohl der iOS- als auch der Android-Client von Signal unter AGPLv3. Ich habe keine Hinweise darauf gefunden, dass der TeleMessage-Client keine proprietäre Software wäre. Läuft es also so, dass sie gemäß AGPLv3 nur zahlenden Kunden die Software und den Quellcode geben und diese Kunden sie weiterverbreiten dürfen? Haben sie den Client komplett neu implementiert? Oder handelt es sich um einen illegalen proprietären Fork? Ersteres wirkt eher unwahrscheinlich, und die beiden anderen Möglichkeiten sind aus Sicht der App-Sicherheit ziemlich beunruhigend.
    [1]: https://en.wikipedia.org/wiki/TeleMessage
    [2]: https://en.wikipedia.org/wiki/Smarsh

    • Smarsh scheint im Compliance-Bereich ein ziemlich großes Unternehmen zu sein. Das ist keine beliebige Firma. Trotzdem bleibt es absurd, eine Signal-Klon-App zu nutzen, die den eigentlichen Zweck von Signal aushebelt.
    • Ende-zu-Ende-Verschlüsselung bedeutet nicht das, was du offenbar meinst. Konkret hat sie nichts damit zu tun, was der beabsichtigte Empfänger oder dessen Software mit der Nachricht macht.
    • Als ich in einer Firma gearbeitet habe, habe ich es so verstanden, dass es nicht als Distribution im Sinne der GPL gilt, wenn der Arbeitgeber einem modifizierte GPL-Software bereitstellt. Daher ist man auch nicht frei, sie weiterzuverteilen.
      Zumindest GPLv2 wurde oft als unternehmensfreundlich beschrieben: „Private“ Änderungen bleiben privat, und Mitarbeiter gelten nicht als externe Weitergabe. Bei der AGPL weiß ich es nicht genau.
    • Solange Kunden weiterverbreiten dürfen, ist es nicht illegal. Besonders dann nicht, wenn diese Kunden keinerlei Absicht haben, den Quellcode durchsickern zu lassen. Der eigentliche Knackpunkt ist, ob jemand, der diesen Client nicht nutzt, jemals eine Verbindung zu einem AGPL-Relay-Server aufgebaut hat.
      Ich habe früher bei einer Firma gearbeitet, die kundenspezifische Softwarelösungen unter Verwendung von GPL-Software an militärnahe Kunden verkauft hat, vermutlich ans DOD. Über mehr als zehn Jahre hat niemand den Code angefordert; erst vor ein paar Jahren tat das jemand. Vermutlich wollte die Person ihn evaluieren, aber da das Ding für mehrere Arbeitsabläufe zentral war, wäre ein Fork ziemlich mühsam gewesen. Es gab wirklich sehr viele bewegliche Teile.
      Solange nicht jemand den TM-SGNL-Server kontaktiert, danach den Quellcode anfordert und abgewiesen wird, ist es nicht illegal.
    • „Wenn man das Archiv als einen Endpunkt betrachtet und die Verbindung sicher ist“ – keinesfalls. TeleMessage hat einige Kunden, und die meisten nutzen Global Relay als Backend.
      Was tatsächlich etwas beängstigend ist: Global Relay nimmt alles per SMTP entgegen. Ich habe nicht geprüft, ob DNSSEC oder MTA-STS eingerichtet sind, aber nach der Arbeitsweise von Global Relay würde ich nicht darauf wetten. Mit einem gut platzierten Proxy oder DNS-Poisoning ließe sich vermutlich ein beträchtlicher Teil sensibler E-Mails abgreifen, die an Global Relay gehen.
  • Die App scheint diese hier zu sein:
    https://www.telemessage.com/how-to-install-and-register-sign...

    • Meine Güte, sie installieren sie per App-Center-Distribution.
  • Ich frage mich wirklich, was JD mit der Nachricht meinte, er habe „vom Gegenüber die Bestätigung erhalten, dass es ausgeschaltet wurde“.

  • Moment, sie benutzen also eine Signal-Klon-App, die von israelischen Geheimdienstoffizieren betrieben wird?
    Dieser Teil scheint noch nicht richtig bekannt zu sein. Wenn man die Adresse des Unternehmens in Google Maps sucht, findet man dort tatsächlich ein Unternehmen namens „Cyberint“, was sehr schlecht aussieht.
    https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
    Noch schlimmer: Auf der Team-Seite der Unternehmenswebsite wimmelt es von Personen, die wie „ehemalige“ israelische Geheimdienstoffiziere wirken, einschließlich des CEO.
    https://www.telemessage.com/team/
    Das wirkt wie eine viel größere Sache als die bisher bekannte Geschichte. Um Größenordnungen größer als das ursprüngliche Signalgate. Die Implikation hier ist, dass israelische Geheimdienstoffiziere möglicherweise den derzeit besten Zugang der Welt hatten: einen Echtzeit-Feed aller Gespräche, an denen der nationale Sicherheitsberater der USA beteiligt ist.