Trusted-Communicator-Rohde-Schwarz-Cybersecurity

Nach aktuellen Sicherheitslücken: Gibt es sichere Messaging-Dienste?

Milliarden Menschen, die weltweit Messenger zum Versenden und Empfangen von Kurznachrichten, Fotos, Videos und auch zur Telefonie nutzen, vertrauen auf die Sicherheit dieser Dienste. Am 31. August nun entdeckte Googles Project Zero eine kritische Sicherheitslücke in einem der am weitesten verbreiteten Dienste. Die Schwachstelle: Videotelefonie.

Konkret handelte es sich um die Speicherverwaltung der Videokonferenzfunktion des Instant Messaging-Dienstes – einer gern, weil einfach zu bedienenden und praktischen Funktion. Vermittels präparierter Real-Time Transport Protocols (RTP) zur Übertragung audiovisueller Streams per IP-Netzwerke konnte dort eine Speicherbeschädigung erzeugt werden. Konkret bedeutet dies für Nutzer: jeder angenommene Anruf könnte der eines Angreifers sein. Wie die Sicherheitsforscherin Natalie Silvanovich auf Twitter schrieb, könne der Absturz des Systems in jedem Fall herbeigeführt werden, potentiell berge diese Sicherheitslücke aber noch erheblich mehr Gefahren, etwa dass Hacker diesen Exploit nutzten, um Spionage-Software auf Smartphones zu installieren.

Was Nutzer von Messaging-Diensten nun tun sollten …

Seit Meldung der Sicherheitslücke bei WhatsApp Inc. hatte das Unternehmen Patches in den neuen Versionen 2.18.302 für Android und der 2.18.93 unter iOS bereitgestellt. Voraussetzung: Anwender müssten diese jeweils aktuellste Version herunterladen können, installieren und verwenden. Unter iOS finden User die Versionsnummer im App Store unter „Updates“. Nutzer von Android sehen diese Angabe unter „Einstellungen“, „Hilfe“ und „App Info“ ein.

Die Messaging-Schwachstelle war mittels Fuzzing (oder: Fuzz-Testing) entdeckt worden, bei denen Schnittstellen automatisiert mit falschen oder korrekten Daten „gefüttert“ (also: getestet) werden. Ungewollte Reaktionen sind beispielsweise der hier erwähnte Absturz einer Anwendung, Verbindungsabbruch, Fehlermeldungen, aber auch das Anzeigen vertraulicher Informationen oder ein Anstieg verwendeter Ressourcen wie Speicherverbrauch und CPU-Last. Schnittstellen, die getestet werden, sind Kommentarfelder auf Websites, serielle Schnittstellen wie USB, APIs und Webservices.

Seit Mitte 2014 arbeiten Sicherheitsforscher von Googles Project Zero daran, Zero-Day-Exploits aufzuspüren. Identifizierte Fehler und Schwachstellen werden den betroffenen Herstellern gemeldet und erst nach Release eines Patches – oder nach spätestens 90 Tagen veröffentlicht, falls es kein Patch gegeben haben sollte, so dass User etwaige Sicherheitsmaßnahmen selbst ergreifen können. Quellcodes veröffentlicht das Team auf seinen GitHub-Seiten, generelle News und Upates finden sich auf der Project zero-blogspot-Seite. Eine Übersicht aller identifizierten Issues von Project Zero gibt es hier.

… und welche App Anwender- und Sicherheitsansprüchen gerecht wird

Bereits heute ist eine Messaging-Alternative in Form einer App für Android und iOS erhältlich, die einen hochsicheren Messenger und verschlüsselte Telefonie in einer Anwendung bereitstellt. Grundlage dieses sicheren Dienstes ist eine Chiffrierung von Sofortnachrichten und Anrufen gleichermaßen.

Diese App nennt sich und arbeitet wie vom NATO-Kommunikationsprotokoll SCIP vorgeschlagen. Außerdem wird die App auf iOS und Android in einem kryptografisch gesicherten Container vor Cyberangriffen geschützt.“

Komplettiert wird diese Sicherheitslösung durch den Einsatz des R&S®Trusted Communications Server. Der Aspekt des sicheren Austausches von vertraulichen Informationen ist der rote Faden, der sich durch alle Teilbereiche der Serverapplikationen zieht. In Zeiten von Quantum Computing wurde der Trusted Communications Server für Kryptoagilität entwickelt. Das bedeutet: Kryptografische Verfahren und Standards können zeitnah angepasst werden, ohne funktionale Veränderungen (z. B. für digitale Zertifikate) erforderlich zu machen.

So ist die Kommunikations- und Kollaborationsplattform auch für die geschäftliche Nutzung eines privaten Smartphones geeignet. Um eine dauerhafte Absicherung zu gewährleisten, folgt der R&S®Trusted Communicator dem Ansatz „Security by Design“: Das kryptografische Verfahren kann jederzeit an neue Herausforderungen angepasst zu werden, ohne dass funktionale Veränderungen erforderlich würden.

Die Usability entspricht der bekannter Kommunikations- und Kollaborations-Apps.

Verwandte Produkte

R&S®Trusted Mobile

Sichere Android-basierte Smartphones und Tablets für Unternehmen und Behörden

More information

R&S® Trusted Gate

Datenzentrische Cybersecurity-Lösung für den sicheren Datenaustausch in Cloud-Computing-Umgebungen und Collaboration-Tools.

More information

Informationen anfordern

Haben Sie Fragen oder benötigen Sie weitere Informationen? Nutzen Sie hierzu einfach unser Kontaktformular und wir setzen uns umgehend mit Ihnen in Verbindung.

Ich möchte Informationen von Rohde & Schwarz erhalten per

Marketing-Einverständniserklärung

Was bedeutet das im Einzelnen?

Ich bin damit einverstanden, dass die ROHDE & SCHWARZ GmbH & Co. KG und die im Impressum dieser Website genannte, ROHDE & SCHWARZ zugehörige Gesellschaft oder Niederlassung, mich über den gewählten Kommunikationskanal (E-Mail oder Post) zu Marketing- und Werbezwecken kontaktiert (z.B. zur Übersendung von Informationen über Sonderangebote und Rabattaktionen), die in Zusammenhang mit Produkten und Lösungen aus den Bereichen Messtechnik, sichere Kommunikation, Monitoring and Network Testing, Rundfunk- und Medientechnik sowie Cybersicherheit stehen, aber nicht auf diese beschränkt sind.

Ihre Rechte

Diese Einverständniserklärung kann jederzeit durch Senden einer E-Mail, in deren Betreffzeile "Unsubscribe" steht, an news@rohde-schwarz.com, widerrufen werden. Darüber hinaus enthält jede von uns versandte E-Mail einen Link, durch den das Abbestellen zukünftiger Werbung per E-Mail möglich ist. Weitere Einzelheiten zur Verarbeitung personenbezogener Daten und zum Widerrufsverfahren finden sich in unserer Datenschutzerklärung..

Ihre Anfrage wurde erfolgreich versendet. Wir nehmen in Kürze Kontakt mit Ihnen auf.
An error is occurred, please try it again later.