Mike Waltz veröffentlicht versehentlich App, die die Regierung zur Archivierung von Signal-Nachrichten nutzt
(404media.co)- Auf einem Foto von Mike Waltz’ Mobiltelefon ist zu sehen, dass er offenbar eine inoffizielle Signal-Version zur Nachrichtenarchivierung verwendet
- Waltz war bis Donnerstag Nationaler Sicherheitsberater der USA, wodurch die Frage an Gewicht gewinnt, welche Einstufung von Informationen Regierungsbeamte in Signal besprechen
- Ein Reuters-Foto zeigt, wie Waltz während einer von Donald Trump geleiteten Kabinettssitzung im Weißen Haus auf sein Telefon blickt
- Auf dem Bildschirm sind offenbar Nachrichten von hochrangigen Regierungsvertretern wie JD Vance, Tulsi Gabbard und Marco Rubio zu sehen
- Am unteren Bildschirmrand ist ein Hinweis zu sehen, der wie die übliche PIN-Bestätigungsnachricht von Signal aussieht, wodurch sowohl der Schutz vor Kontoübernahmen als auch die Art der Nachrichtenarchivierung in den Fokus rücken
Inoffizielle Signal-Nutzung durch Foto offengelegt
- Auf einem Foto von Mike Waltz’ Mobiltelefon wurde die Nutzung einer App erkennbar, die wie eine inoffizielle Version von Signal aussieht
- Diese Version gilt als App, die für die Archivierung von Nachrichten entwickelt wurde
- Waltz war bis Donnerstag National Security Advisor der USA
Kontext des Reuters-Fotos
- Das von Reuters veröffentlichte Foto zeigt, wie Waltz während einer von Donald Trump im Weißen Haus abgehaltenen Kabinettssitzung auf sein Telefon schaut
- Auf dem Bildschirm sind Nachrichten mehrerer hochrangiger Regierungsvertreter zu sehen
- JD Vance
- Tulsi Gabbard
- Marco Rubio
Signal-PIN-Nachricht und Sicherheitskontext
- Am unteren Rand von Waltz’ Telefonbildschirm ist ein Text zu sehen, der wie die übliche PIN-Bestätigungsnachricht von Signal aussieht
- Die PIN-Bestätigungsnachricht von Signal kann angezeigt werden, um Nutzer daran zu erinnern, sich an ihre PIN zu erinnern
- Die PIN kann dazu dienen, zu verhindern, dass andere das Konto übernehmen
Offene praktische Fragen
- Wenn die inoffizielle Signal-Version zur Archivierung von Nachrichten genutzt wird, ist die zentrale Frage, welche Einstufung von Informationen Regierungsbeamte in dieser App besprechen
- Offen bleibt auch, wie die archivierten Daten sicherheitstechnisch behandelt werden
1 Kommentare
Meinungen auf Hacker News
https://archive.ph/oXYXe
Regierungsbehörden haben auch früher schon für Versionen von verschlüsselten Messengern mit Archivierungsfunktion bezahlt. 2021 zahlte CBP 700.000 Dollar an Wickr.
Das wirkt wie ein Anwendungsfall, der geradezu dafür gemacht ist, Signal zu unterstützen. Große Unternehmen oder Regierungsbehörden könnten die App-Entwickler direkt für einen maßgeschneiderten Fork bezahlen; ich verstehe nicht, warum TeleMessage dafür Geld bekommt. Macht es die Signal Foundation nicht einfach, kostenpflichtige Forks umzusetzen?
„TM SGNL“ scheint sich auf Software der Firma TeleMessage zu beziehen. Dieses Unternehmen erstellt Klone beliebter Messenger-Apps und fügt jeder App eine Archivierungsfunktion hinzu.
Ich verstehe nicht, welchen Sinn es hat, Signal zu verwenden, wenn man gleichzeitig zulässt, dass ein ausländisches Unternehmen die Kommunikation abgreift. Vermutlich wollten sie die UX eines kommerziellen Produkts statt der holprigen Nutzererfahrung einer behördlich zugelassenen App, aber weiß jemand, was die Alternative gewesen wäre?
Signal ist für Regierungszwecke zugelassen, aber nicht für nicht öffentliche Informationen des Verteidigungsministeriums. Für Dinge wie „Komm in den SCIF, dort besprechen wir die Details“ kann man Signal verwenden; die eigentlichen Details sollten in einer sicheren Umgebung besprochen werden.
CISA empfahl stattdessen die Nutzung Ende-zu-Ende-verschlüsselter Dienste und nannte dabei ausdrücklich Signal.
https://investigations.cooley.com/2025/01/15/federal-law-enf...
Signal ist am Ende auch nur eine App auf dem Smartphone. Wenn es für geheime Kommunikation genutzt werden soll, sollte auf diesem Gerät so wenig Software wie möglich laufen — oder gar keine zusätzliche — und es sollte mit Passwörtern, Verschlüsselung und allen verfügbaren Mitteln geschützt werden.
Ich frage mich, ob man wegen der Archivierung wirklich Sicherheitslücken in Kauf nehmen muss. Man könnte Israel und Pegasus ohnehin um eine Kopie des Archivs bitten.
Ein paar Details: TeleMessage war oder ist ein israelisches Unternehmen [1], wurde aber im vergangenen Jahr vom US-Unternehmen Smarsh [2] übernommen; Smarsh selbst ist wiederum eine Tochter von K1 Investment Management, ebenfalls aus den USA. Ob das Unternehmen umgezogen ist, weiß ich nicht.
Vielleicht nicht direkt relevant, aber in den Nutzungsbedingungen findet sich auch eine eigene Klausel zu Messaging in China, die offenbar Offenlegungen gegenüber der chinesischen Regierung einschließt. Unklar ist, wie die App funktioniert. Sie wird wie ein Fork des Signal-Clients beworben und scheint alles auf Remote-Server hochzuladen; damit wäre die Ende-zu-Ende-Verschlüsselung natürlich gebrochen, sofern man das Archiv nicht als einen der Empfangs-Endpunkte betrachtet und diese Verbindung als sicher annimmt. Offenbar wird auch damit geworben, dass die Oberfläche der von Signal entspricht.
Allerdings stehen sowohl der iOS- als auch der Android-Client von Signal unter AGPLv3. Ich habe keine Hinweise darauf gefunden, dass der TeleMessage-Client keine proprietäre Software wäre. Läuft es also so, dass sie gemäß AGPLv3 nur zahlenden Kunden die Software und den Quellcode geben und diese Kunden sie weiterverbreiten dürfen? Haben sie den Client komplett neu implementiert? Oder handelt es sich um einen illegalen proprietären Fork? Ersteres wirkt eher unwahrscheinlich, und die beiden anderen Möglichkeiten sind aus Sicht der App-Sicherheit ziemlich beunruhigend.
[1]: https://en.wikipedia.org/wiki/TeleMessage
[2]: https://en.wikipedia.org/wiki/Smarsh
Zumindest GPLv2 wurde oft als unternehmensfreundlich beschrieben: „Private“ Änderungen bleiben privat, und Mitarbeiter gelten nicht als externe Weitergabe. Bei der AGPL weiß ich es nicht genau.
Ich habe früher bei einer Firma gearbeitet, die kundenspezifische Softwarelösungen unter Verwendung von GPL-Software an militärnahe Kunden verkauft hat, vermutlich ans DOD. Über mehr als zehn Jahre hat niemand den Code angefordert; erst vor ein paar Jahren tat das jemand. Vermutlich wollte die Person ihn evaluieren, aber da das Ding für mehrere Arbeitsabläufe zentral war, wäre ein Fork ziemlich mühsam gewesen. Es gab wirklich sehr viele bewegliche Teile.
Solange nicht jemand den TM-SGNL-Server kontaktiert, danach den Quellcode anfordert und abgewiesen wird, ist es nicht illegal.
Was tatsächlich etwas beängstigend ist: Global Relay nimmt alles per SMTP entgegen. Ich habe nicht geprüft, ob DNSSEC oder MTA-STS eingerichtet sind, aber nach der Arbeitsweise von Global Relay würde ich nicht darauf wetten. Mit einem gut platzierten Proxy oder DNS-Poisoning ließe sich vermutlich ein beträchtlicher Teil sensibler E-Mails abgreifen, die an Global Relay gehen.
Die App scheint diese hier zu sein:
https://www.telemessage.com/how-to-install-and-register-sign...
Ich frage mich wirklich, was JD mit der Nachricht meinte, er habe „vom Gegenüber die Bestätigung erhalten, dass es ausgeschaltet wurde“.
Moment, sie benutzen also eine Signal-Klon-App, die von israelischen Geheimdienstoffizieren betrieben wird?
Dieser Teil scheint noch nicht richtig bekannt zu sein. Wenn man die Adresse des Unternehmens in Google Maps sucht, findet man dort tatsächlich ein Unternehmen namens „Cyberint“, was sehr schlecht aussieht.
https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
Noch schlimmer: Auf der Team-Seite der Unternehmenswebsite wimmelt es von Personen, die wie „ehemalige“ israelische Geheimdienstoffiziere wirken, einschließlich des CEO.
https://www.telemessage.com/team/
Das wirkt wie eine viel größere Sache als die bisher bekannte Geschichte. Um Größenordnungen größer als das ursprüngliche Signalgate. Die Implikation hier ist, dass israelische Geheimdienstoffiziere möglicherweise den derzeit besten Zugang der Welt hatten: einen Echtzeit-Feed aller Gespräche, an denen der nationale Sicherheitsberater der USA beteiligt ist.