Signal ziet geen bewijs dat geruchten over zeroday in linkpreview kloppen

Signal zegt dat er geen bewijs is van een zeroday die de versleuteldechatapp zou hebben getroffen. Dit weekend kwamen er geruchten die stelden dat er een kwetsbaarheid in de functie zat om linkpreviews aan te maken, maar Signal ontkent dat.

Signal schrijft op X dat het de 'vage virale meldingen heeft gezien' waaruit zou blijken dat er een zeroday in de chatapp zou zitten. "In ons onderzoek hebben we geen bewijs gezien dat deze kwetsbaarheid echt bestaat", zeggen de makers van de app. "Ook is er geen extra informatie gedeeld via onze officiële kanalen." De makers zeggen in een andere post ook contact te hebben opgenomen met de Amerikaanse overheid. In het bericht stond dat dat de mogelijke bron zou zijn van de melding. "Degenen met wie we hebben gesproken, hebben geen informatie waaruit blijkt dat deze claims valide zouden zijn."

Eerder dit weekend gingen er verschillende berichten rond over een dergelijke mogelijke kwetsbaarheid. De originele bron is moeilijk te achterhalen, maar het bericht werd verspreid via verschillende accounts. De geruchten duidden erop dat de informatie via 'onofficiële kanalen binnen de Amerikaanse overheid' werd verspreid. Uit de geruchten bleken geen details over de kwetsbaarheid. Er werd gesproken over een zeroday, maar het is onduidelijk of die actief werd misbruikt. De bug zou in de linkpreviewfunctionaliteit zitten. In de waarschuwing werd gebruikers aangeraden die functionaliteit via de instellingen uit te schakelen.

Het is niet bekend wie er precies achter het gerucht zit en waar dat vandaan komt. De baas van Signal, Meredith Whittaker, speculeert dat het mogelijk gaat om een desinformatiecampagne. Ze geeft daarvoor echter geen uitleg, dus het is niet duidelijk waar ze zich op baseert.

Signal zeroday

Reacties (45)

Byron010 16 oktober 2023 10:51

Oke, ze vinden geen zeroday. Maar als je het zelf niet kan vinden dan betekent het niet dat het er niet is.

Vervolgens zou het niet de 1e keer zijn dat de amerikaanse overheid zelf een security flaw misbruikt/gebruikt, dus ik zou ze ook niet als meest betrouwbare bron inschatten om toe te geven of er wel of niet een flaw in zit.

Ik neem zoiets dan toch met een korreltje zout. Ik hoop dat ze gelijk hebben en er inderdaad niks mogelijk is, maar een zero day heet een zero day met een reden.

The Zep Man

Beveiliging en antivirus
Signal

@Byron010 • 16 oktober 2023 11:04

Oke, ze vinden geen zeroday. Maar als je het zelf niet kan vinden dan betekent het niet dat het er niet is.
(...)
Ik neem zoiets dan toch met een korreltje zout. Ik hoop dat ze gelijk hebben en er inderdaad niks mogelijk is, maar een zero day heet een zero day met een reden.

@Byron010
Er zit een zero day in alle software die jij als bedrijf met een publiek gezicht gebruikt en in alle de software die je zelf ontwikkelt. Nee, ik ga je niet vertellen wat de zero day is of wat de primaire bron is, maar ik benader jou niet eerst maar het publiek om zoveel mogelijk ruchtbaarheid te geven. En hey, ik (anoniem persoon op het internet) noem het een zero day, en een zero day heet een zero day met een reden. Dus je neemt mijn melding net zo serieus als alle andere meldingen die je binnenkrijgt.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 16:48]

TheVivaldi @The Zep Man • 16 oktober 2023 11:08

Maar het kan natuurlijk alsnog. Vergelijk het met het graf van Toetanchamon: ze konden het jarenlang niet vinden, maar ineens vonden ze het.

Edit: of het graf van Nefertiti, dat tot op heden nog niet gevonden is, maar waar wel aanwijzingen van zijn.

[Reactie gewijzigd door TheVivaldi op 26 juli 2024 16:48]

Jerie

@TheVivaldi • 16 oktober 2023 11:28

Klopt, je weet nooit zeker dat iets veilig is. Je kunt alleen zeker weten dat iets onveilig is door dat te bewijzen. Dat bewijs ontbreekt hier, en Signal ziet ook geen symptomen dat het op dit specifieke gebied wel lek is.

Volgens Matt Blaze zou het mogelijk geen zero day maar een kwetsbaarheid die is opgelost:

Update: this appears to be related to CVE-2023-4863, a buffer overflow in the “WebP” web picture format library. If it’s in fact the same vulnerability and you’re running the latest Signal release on a fully updated platform, it should be fixed. That’s what the Signal folks seem to believe, per https://twitter.com/signa...&t=z-c8sychF1tw0tb88vTGCA

So, if this is what this was: keep your software updated, turn off features you aren’t using, and don’t panic.

(En hij refereert dat dit ook is hoe Signal erover denkt.)

Bron: https://mastodon.social/@...social/111243503588904824

The Zep Man

Beveiliging en antivirus
Signal

@TheVivaldi • 16 oktober 2023 11:22

Maar het kan natuurlijk alsnog.

Alles kan. Een analoge klok die niet draait geeft tweemaal per dag correct de tijd aan. Elke analoge klok is dus in staat om de tijd goed aan te geven. Dat houdt niet in dat elke analoge klok ten alle tijden de tijd goed aangeeft.

Het punt is dat als in de informatiebeveiligingswereld echt iets aan de hand is, dat snel genoeg daar iets over gezegd wordt door gerenommeerde (eerste of derde) bronnen. Daar is hier geen sprake van.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 16:48]

Keypunchie @TheVivaldi • 16 oktober 2023 11:19

Het graf van Toetanchamon is naar mijn beste weten (maar ben geen Egyptoloog) nooit echt naar gezocht. Hij is volgens mij een relatief onbeduidende farao geweest, voor een vrij korte periode.

Howard Carter is echter wel, enigzins bij toeval, over zijn graf gestruikeld en het bleek bijzonder goed intact gebleven bij nader onderzoek. En daardoor is hij toch nog "beroemd" de geschiedenis in gegaan.

https://nl.wikipedia.org/wiki/Toetanchamon

[Reactie gewijzigd door Keypunchie op 26 juli 2024 16:48]

TheVivaldi @Keypunchie • 16 oktober 2023 11:30

Volgens EN:WP was er al eerder een verwijzing dat zijn graf bestond en begon de zoektocht in 1915. Pas in 1922 werd zijn graf gevonden. Dat noem ik wel “jarenlang niet kunnen vinden”.

Maar een beter voorbeeld is anders misschien het graf van Nefertiti, wat ze tot op heden nog niet gevonden hebben, ook al zijn er aanwijzingen van.

[Reactie gewijzigd door TheVivaldi op 26 juli 2024 16:48]

Keypunchie @TheVivaldi • 16 oktober 2023 11:44

Nou, iets subtieler dan dat als ik het me goed herinner. Carter was op zoek naar "iets", maar hij wist zelf ook niet zo goed wat dat dan was. (Nou ja, in ieder geval spul dat er mooi uit zou zien op de schoorsteenmantel, het was allemaal wat minder wetenschappelijk verantwoord in die tijd).

Hij liet Lord Carnarvon zijn expedities financieren (als sinds 1907), en het duurde tot 1922 voordat hij dan echt de jackpot had.

TheVivaldi @Keypunchie • 16 oktober 2023 12:35

Ik geloof dat je gelijk hebt. Maar hoe dan ook waren er aanwijzingen en was een jarenlange zoektocht voordat ze de jackpot hadden, dus het kan bij deze zeroday ook zomaar zijn dat ze hem later ineens vinden.

Aldy @The Zep Man • 16 oktober 2023 14:11

Er werd verder niet op in gegaan, maar er staat: 'In de waarschuwing werd gebruikers aangeraden die functionaliteit via de instellingen uit te schakelen.' Misschien is het uitschakelen de zwakke plek en moet je dit juist niet doen.

JakkoFourEyes @Byron010 • 16 oktober 2023 11:18

Maar er worden verder ook geen details gegeven over de zogenaamde zero day. Een aantal mensen claimen publiekelijk dat er een zero day is, als een soort PSA, maar informeren vervolgens Signal zelf niet waar dit zit? Dat is natuurlijk heel vreemd.

RobertMe @Byron010 • 16 oktober 2023 11:21

Vervolgens zou het niet de 1e keer zijn dat de amerikaanse overheid zelf een security flaw misbruikt/gebruikt, dus ik zou ze ook niet als meest betrouwbare bron inschatten om toe te geven of er wel of niet een flaw in zit.

Hoewel je een punt hebt, past het niet in het verhaal. De geruchten verwijzen juist naar de Amerikaanse overheid als bron. Dan zou het ten eerste al gek zijn als ze het wel aan de grote klok hangen, maar niet melden bij Signal. Maar nog gekker dat ze het ontkennen als Signal bij hen navraag doet.

Ik wil best geloven dat de Amerikaanse overheid "toegang" heeft tot daadwerkelijke zero days voor eigen gewin. Maar dan gaan ze dus niet (op internet) verspreiden dat die software een zero day lek bevat. Immers is de kans dan alsnog groot dat het lek gedicht wordt en ze het zelf niet meer kunnen misbruiken.

watercoolertje @Byron010 • 16 oktober 2023 11:23

Oke, ze vinden geen zeroday. Maar als je het zelf niet kan vinden dan betekent het niet dat het er niet is.

Daarom zeggen ze ook dat die niet gevonden is en zeggen ze dus niet met zekerheid dat ie niet bestaat.

Anyway het is beetje loos om zoiets te roepen werkelijk ELK stukje code kan je zeggen dat het mogelijk een zeroday bevat die nog niet ontdekt is. Daar hebben we natuurlijk net zo min wat aan...

arjandijk162 @Byron010 • 16 oktober 2023 13:48

"You cant prove a negative". Zoals Signal niet kan bewijzen dat er geen zeroday is, kun jij je niet betrokkenheid bij een moordaanslag niet bewijzen

WeeJeePee 16 oktober 2023 10:38

Wat een vage bedoeling. Ik vraag me af of dit misschien niet een sabotage poging is van een concurrent om een groter marktaandeel te winnen. Ik vraag me af wie er het meeste profijt van heeft om de reputatie van signal te schaden.

[Reactie gewijzigd door WeeJeePee op 26 juli 2024 16:48]

curkey @WeeJeePee • 16 oktober 2023 10:51

Hoeft niet eens een concurrent te zijn, zou ook een overheid kunnen zijn. Een beetje FUD kan nooit kwaad he :-) [/aluhoed].

killercow @curkey • 16 oktober 2023 11:00

Hoe dit als irrelevant gemod wordt is mij een raadsel. Overheden hebben wel degelijk belang bij zwakkere encryptie voor privegesprekken, Of in ieder geval, zo ongeveer elke overheid wil e2e encryptie eigenlijk het liefst aan banden leggen omdat ze anders niet meer kunnen meeluisteren.

curkey @killercow • 16 oktober 2023 11:41

Helaas hebben we de afgelopen jaren daar genoeg concrete aanwijzingen van gekregen.

Jaren geleden zou je om dat soort opmerkingen lachen, maar tegenwoordig hebben we meer van de overheid te duchten dan wat je had durven dromen.

Tintel @curkey • 16 oktober 2023 12:20

Idd. Omdat we inmiddels een overheid hebben gekregen die denkt dat meer controle van haar burgers leidt tot een stabiel systeem ... voor henzelf. Het is typerend hoe weinig accountability de overheid/politiek de laatste jaren heeft.
Ze hebben mogen ruiken aan de holy grail van informatie vergaring; burgers die bijna alles wat ze doen publiceren op social media en praktisch volledig digitaal communiceren. Daarom hebben we nog steeds een FB, ondanks alles wat ze uitvreten en wordt telkens getoornd aan E2E encryptie.

familyman @curkey • 16 oktober 2023 16:27

En van de criminelen die veel makkelijker kunnen opereren dankzij nieuwe it technieken.

Nog los van de wantoestanden die we hebben dankzij desinformatie campagnes, en vrijheid van kuluiting / de geld machine die gebaat is bij reuring in plaats van stabiliteit

Caelestis @WeeJeePee • 16 oktober 2023 11:26

WhatsApp/Facebook heeft er profijt van.

litebyte @Caelestis • 16 oktober 2023 11:31

Ik denk dat dit meevalt, de meeste Signal gebruikers mijden gelegitimeerde spyware (alles van meta) als de pest, en gebruiken juist daarom Signal.

Caelestis @litebyte • 16 oktober 2023 12:19

Maar als FB juist aangeeft dat Signal zero-days heeft die ze zelf niet hebben, dan heeft FB hier toch profijt van?
Het is ook FB die weigert om de twee chat apps met elkaar te laten communiceren.
Onder de kap zijn de twee identiek dus is enkel Facebook degene die zou profiteren van een dergelijke verwijt.

litebyte @Caelestis • 16 oktober 2023 13:26

Als het waar is en dat valt nog maar te bezien. Daarnaast is het onder de kap helemaal niet identiek, Signal biedt beveiligingslagen mbt het delen van metadata. Het gaat ook om het bedrijf achter de app, meta is onbetrouwbaar. Dat meta na alle schandalen en het niet houden aan wetgeving en afspraken nog steeds mag opereren in de EU is overigens nog veel enger dan meta zelf.

https://www.euractiv.com/...n-eu-data-protection-row/

Caelestis @litebyte • 16 oktober 2023 13:31

Ja daar ben ik het mee eens. En juist omdat de beveiligings laag anders is kan FB roepen dat het hen niet treft. Zo kunnen ze de leegloop van accounts beperken.
Het gaat meer om wie er profijt heeft bij een verwijzing naar een beveiligings lek?
Apple is geen concurrent.
Telegram is Russisch dus blijft enkel WhatsApp over.
Of heb jij een andere hypothese?

litebyte @Caelestis • 16 oktober 2023 14:07

Ik denk dat het eerder (geo)politiek gemotiveerd is, waarbij een bepaalde entiteit probeert om een populaire app (overigens vooral ook onder journalisten) met uitstekende encryptie zwart te maken.

Caelestis @litebyte • 16 oktober 2023 14:54

Hum, ja echt populair is het niet onder de normale gebruikers. En dan kan ik mij alleen FB voorstellen die er profijt van heeft.
Wat betreft journalisten zou dat inderdaad ook kunnen. China en Rusland vallen al af dus wat er over blijft zou FBI, Israël of Europa kunnen zijn.
De laatste lijkt me een beetje stug maar zou mogelijk kunnen zijn.

CaptainKansloos @WeeJeePee • 16 oktober 2023 10:50

Behalve commercieel gewin kan het ook gewoon een communicatie disruptie een voordeel zijn. Gezien alle conflicten wereldwijd is het niet ondenkbaar dat door geruchten te verspreiden bepaalde partijen benadeeld worden en op zoek 'moeten' naar slechtere(?) alternatieven. Denk aan activisten, journalisten en / of strijdende partijen. Als 'ze' gedwarsboomd kunnen worden door twijfel te zaaien dan zullen bepaalde partijen dat zeker niet nalaten.

The Zep Man

Beveiliging en antivirus
Signal

16 oktober 2023 10:35

Het is niet bekend wie er precies achter het gerucht zit en waar dat vandaan komt.

Gebaseerd op alle kenmerken dus een hoax. Geen aandacht meer aan besteden en weer door.

Het is niet bekend wie er precies achter het gerucht zit en waar dat vandaan komt. De baas van Signal, Meredith Whittaker, [sic] dat het mogelijk gaat om een desinformatiecampagne. Ze geeft daarvoor echter geen uitleg, dus het is niet duidelijk waar ze zich op baseert.

Met 'discussies' op Twitter kan je dat ook niet verwachten. Verder lijken de kenmerken voor dat het mogelijk een dergelijke campagne betreft mij duidelijk:

• Geen eerste, betrouwbare bron. Alleen echoes in de ether zonder bron.
• Geen boodschap vanuit gerenommeerde beveiligingsonderzoekers.
• Melding in het weekend.

Ieder individueel punt is geen reden tot zorgen, maar gecombineerd zijn ze een sterk signaal dat er iets niet klopt.

De reden voor de hoax maakt niet uit. Iedereen kan een hoax verspreiden (voor een vonk zorge, om wat voor reden dan ook. Waar je je op moet richten zijn de mensen die de hoax doorzetten zonder bronverificatie, want die doen de meeste schade (door olie op het vuur te gooien).

[Reactie gewijzigd door The Zep Man op 26 juli 2024 16:48]

Verwijderd 16 oktober 2023 10:58

Dus als we toch voorzichtig willen zijn moeten we gewoon geen onbetrouwbare URLs laten previewen terwijl we ons bericht aan het typen zijn?

Jerie

@Verwijderd • 16 oktober 2023 11:19

Wel, eigenlijk is dat zo ja. Want in Telegram en WhatsApp hebben dermate kwetsbaarheden gezeten in dit onderdeel dat het IP adres van de client op die manier lekt. En hetzelfde probleem heeft ook in andere IMs gezeten zoals ICQ. Voor opsporingsdiensten is dat gewoonweg heel interessant. Maar om eerlijk te zijn heb ik daar niet zoveel problemen mee gezien de hoeveelheid bagger die er op bijvoorbeeld Telegram voorbij komt. Een RCE daarentegen is nog een stuk ernstiger.

Wietsee. 16 oktober 2023 11:35

Signal heeft nog wel een ander lek in de applicatie zitten. Als je het contactboek op je telefoon leegt (test maar even) worden de contacten die je ooit via Signal hebt gehad gedeeld met Whatsapp. Heb ik recent ondervonden en gerapporteerd. In je Whatsapp lijst komen zodoende contacten te staan die je daar helemaal niet wil hebben (bijv. wanneer je het contact destijds hebt verwijderd van telefoon).

De enige manier om dit te voorkomen is door Signal toegang tot je contactboek op je telefoon in te trekken. Zwaar ondermaats dit naar mijn idee.

[Reactie gewijzigd door Wietsee. op 26 juli 2024 16:48]

CaptainKansloos @Wietsee. • 16 oktober 2023 13:16

Ik heb je submit even bekeken en bovenstaande gelezen, maar ik snap niet helemaal wat je bedoelt. Je contacten lijst is geleegd, maar als je Signal en WhatsApp op je tel laat staan, dan komen je via Signal gesyncte contacten ook in WhatsApp?

Volgens mij gebruiken beide apps uiteindelijk je telefoon's contact list; Wat je via Signal terug naar binnen haalt met een sync, wordt daarna zichtbaar in WhatsApp? Zoiets?

Wietsee. @CaptainKansloos • 16 oktober 2023 13:30

Ja correct, stel je hebt een leeg telefoonboek dan krijg je door enkel Signal te installeren automatisch contacten in Whatsapp (je telefoonboek is dan nog steeds leeg uiteraard). Signal injecteert deze contacten dus gewoon bij Whatsapp. Ik wil dat helemaal niet want ongure types die mij ooit benaderd hebben staan zodoende in mijn Whatsapp lijst. Yikes.

WhatsappHack

Signal
Beveiliging en antivirus

@Wietsee. • 16 oktober 2023 15:09

Slaat ie het niet gewoon op in een adresboek dat je uit hebt staan op je telefoon? (Uit in de zin van: niet tonen in je overzicht.)

Maniacs @Wietsee. • 16 oktober 2023 20:05

Dat moet haast wel via je contacten lijst van je telefoon zelf gaan. Weet je zeker dat die leeg is? (i.p.v. niet zichtbaar). Het feit dat de 'bug' niet werkt op het moment dat je Signal geen rechten tot je contacboek geeft zegt eigenlijk al genoeg.

Wietsee. @Maniacs • 16 oktober 2023 21:51

100% leeg, Signal heeft een eigen contactsysteem, je kan bij Signal ook geen contacten uit de lijst verwijderen.

Ernie_W @Wietsee. • 17 oktober 2023 13:56

Nog een manier: zet geen WA op je mobiel?

n00bs 16 oktober 2023 10:54

Beetje offtopic, maar ben benieuwd wat de EU en Signal gaan doen mbt https://www.patrick-breyer.de/en/posts/chat-control/. Er wordt nog vrij weinig aandacht aangegeven in de media maar dit gaat toch vrij ver met een grote impact op security.

Uchy @n00bs • 16 oktober 2023 11:04

idd offtopic, maar ik mis hierover op tweakers de nieuwsberichtgeving. Is best een BIG deal.
Ben op 2 oktober nog bij de demonstratie op de dam geweest. paar handenvol mensen, maar niet genoeg eigenlijk.

JakkoFourEyes @n00bs • 16 oktober 2023 11:22

Tweakers zelf heeft al een aantal artikelen gehad over chat control hoor.
Paar voorbeelden: nieuws: Minister: enkel afbeeldingen client-side scannen ondermijnt e2e-encry...
nieuws: Nederlands kabinet: end-to-endencryptie mag niet onmogelijk worden ge...
review: Online privéberichten scannen? - Antikindermisbruikwet zet privacy on...
nieuws: Antikindermisbruikplan van EU-Commissie accepteert veel false positives

blorf @n00bs • 16 oktober 2023 11:33

Vooral op digitale vrijheid. Als dit serieus doorgezet wordt betekent dat dat er eisen gesteld moeten gaan worden aan het gebruik van native programmatuur op computers. Zo niet, heeft het geen enkele zin omdat iedereen gewoon met iets anders communiceert wat niet remote gemonitord kan worden.

n00bs @blorf • 16 oktober 2023 12:14

Wat ik ook bijzonder hoe wij in de EU ons beklagen over China o.a., maar al deze stappen zijn exact wat er in China al jaren geleden is gedaan en het is telkens een stap verder onder het mom van iets waar mensen emotioneel gevoelig voor zijn. Ondertussen ga je naar een totalitaire staat en mag je hopen dat wat er morgen komt nog in lijn is hoe jij je gisteren gedroeg. In de 2e WO ging dat uiteindelijk ook niet zo goed... we gaan nu gewoon 500 miljoen inwoners bij voorbaat bestempelen als crimineel zonder rechterlijke tussenkomt en dan met dank van ons IT'ers met full automation inclusief false positives als crimineel wat dan ook rechtstreeks geautomatiseerd naar diverse instellingen/diensten gaat.

Polonium 16 oktober 2023 11:21

Is het niet mogelijk dat de waarschuwing is gedaan om meer anonimiteit te waarborgen? Verstuurt een linkpreview niet een https request van de client naar een webserver?

JakkoFourEyes @Polonium • 16 oktober 2023 11:24

Dat is inderdaad een dingetje, maar dat is geen zero day

Op dit item kan niet meer gereageerd worden.

Signal ziet geen bewijs dat geruchten over zeroday in linkpreview kloppen

Lees meer

Reacties (45)

Sorteer op:

Weergave: