Die Stiftung Signal hat sich zur aktuellen Berichterstattung über den Hackerangriff auf die Messenger-App TeleMessage geäußert.

In einer kurzen Stellungnahme weist ein Sprecher darauf hin, dass die Stiftung für inoffizielle Signal-Versionen keine Garantie für Datenschutz und Sicherheit übernehmen kann. Hintergrund ist ein Cyberangriff auf die von US-Regierungsmitarbeitern genutzte App TeleMessage, die auf dem Open-Source-Code von Signal basiert.

TeleMessage ist eine eigenständige Anwendung, die den Signal-Quellcode modifiziert hat, um zusätzliche Funktionen zu integrieren – unter anderem die Archivierung von Nachrichten auf externen Servern.

Nach Angaben der Signal Foundation war genau diese Erweiterung der Angriffsvektor, der den Hack ermöglichte. Signal selbst war nicht Ziel des Angriffs und ist nach derzeitigem Stand nicht betroffen.

Abgrenzung zu inoffiziellen Signal-Versionen

Die Signal Foundation betont, dass sie nicht für Software verantwortlich ist, die nur auf dem öffentlichen Signal-Quellcode basiert, aber unabhängig davon entwickelt wurde. Seit der Veröffentlichung im Jahr 2013 haben verschiedene Projekte den Code übernommen und zum Teil erheblich verändert.

Für deren Integrität und Sicherheit kann keine Verantwortung übernommen werden. Im konkreten Fall wurde die Schwachstelle offenbar durch eine serverbasierte Erweiterung erzeugt, die in der offiziellen Signal-App nicht vorhanden ist.

Die betroffene App wurde von Dritten entwickelt und nicht von Signal selbst geprüft oder freigegeben. Die Signal Foundation stellt klar, dass ihr keine sicherheitsrelevanten Mängel gemeldet wurden und das Originalprodukt weiterhin als sicher gilt. Nutzer sollten sich bewusst sein, dass die Verwendung modifizierter Versionen von Signal Risiken birgt, insbesondere wenn diese zusätzliche Funktionen enthalten, die das ursprüngliche Sicherheitsmodell verändern.

Der freie Messenger Signal wird von der gemeinnützigen Signal-Foundation entwickelt. Der Quellcode von Signal ist öffentlich zugänglich und kann von jedem Interessierten eingesehen und überprüft werden.