Wie ein Teenager eine Schwachstelle in seiner Video-Chat-App aufgedeckt hat

David Strom, 17 Februar 2021

Wegen eines Bugs konnten Teilnehmer einem Gruppenanruf hinzugefügt werden, noch bevor sie den Anruf entgegengenommen haben.

Möglicherweise haben Sie nicht mitbekommen, dass vor einem Jahr ein Bug in der FaceTime-App entdeckt wurde. Der Bug hat es jeder beliebigen Person ermöglicht, per FaceTime einen Gruppenanruf mit einem beliebigen Kontakt zu starten, selbst wenn der Anruf von diesem Kontakt nicht explizit angenommen wurde. 

Apple hat daraufhin FaceTime-Anrufe für mehrere Tage deaktiviert, bis mit iOS-Version 12.1.4 ein Patch für das Problem ausgerollt werden konnte. Seitdem haben die Sicherheitsforscher von Google denselben Bug auch in anderen Apps für Gruppenchats, wie Signal, JioChat, Mocha, Google Duo und Facebook Messenger, entdeckt.

Doch nicht nur die breite Angriffsfläche des Bugs ist bemerkenswert, sondern auch die Art und Weise, wie er erstmals entdeckt wurde. Die Entdeckung des Bugs verdanken wir dem damals 14-jährigen Schülers Grant Thomson aus Arizona/USA. Dieser hatte mit seinen Freunden per FaceTime Fortnite gespielt. Als er einen Facetime-Gruppenanruf mit seinen Freunden gestartet hat, ist ihm etwas Seltsames aufgefallen – er hat einen seiner Freunde sprechen hören, noch bevor dieser den Anruf überhaupt entgegengenommen hat. Thomsons anschließender Fehlerbericht wurde von Apple zunächst ignoriert. Doch seine Mutter bestand darauf, dass ihm die entsprechende Anerkennung zukommt, und registrierte den Bug über Apples Entwicklerprogramm, woraufhin Thomson schließlich eine finanzielle Belohnung für seinen Fehlerbericht erhielt.

Die zugrunde liegende Funktionsweise des Exploits

Werfen wir nun einen Blick auf die genaue Funktionsweise des Bugs. Bevor ich auf die Details eingehe, sollte ich zunächst ein paar Worte über das WebRTC-Protokoll verlieren. Dabei handelt es sich um einen offenen Standard, der dafür sorgt, dass Ihre App über Echtzeitkommunikationsfunktionen verfügt. Das Protokoll unterstützt die Übertragung von Videodaten, Sprachdaten und allgemeinen Daten zwischen den Peers und ermöglicht so Entwicklern, leistungsstarke Sprach- und Videokommunikationslösungen zu schaffen. 

Das Schlüsselwort hier sind „Peers“, denn sie bergen sowohl Chancen (Sie können Einzel- oder Gruppenchats starten) als auch Risiken. Da Webverbindungen generell nicht zustandsabhängig sind, muss der Zustand zwischen den chattenden Endgeräten auf eine andere Art und Weise aufrechterhalten werden dazu müssen Anrufe unter Verwendung eines anderen Protokolls aufgebaut werden, nämlich des sogenannten "Session Description Protocols" (SDP). Dieser "Peer-to-Peer"-Prozess wird Signalisierung genannt. Wie bereits erwähnt, wird dies nicht vom WebRTC-Protokoll umgesetzt.

Die Sicherheitsforscherin Natalie Silvanovich von Googles "Project Zero" ist dem Problem im Jahr nach der Entdeckung des ursprünglichen FaceTime-Bugs nachgegangen und hat die Details Ihrer Forschungsarbeit veröffentlicht. Sie hat herausgefunden, dass die Art und Weise, wie die SDP-Signalisierung von den verschiedenen Anwendungen umgesetzt wurde, dafür verantwortlich war, dass Empfänger eines Gruppenanrufs dem Anruf mühelos hinzugefügt werden konnten, ohne dass der Anruf entgegengenommen werden musste (bzw. ohne dass der Empfänger etwas tun musste). Außerdem hat sie herausgefunden, dass dieses Problem bei Telegram und Viber nicht besteht, da Anrufe in diesen Apps anders strukturiert werden.

Silvanovich ruft zur Sensibilisierung von Entwicklern auf. „Man findet kaum eine WebRTC-Dokumentation, die sich explizit damit beschäftigt, dass beim Streamen von Audio- und Video-Inhalten vom Gerät eines Benutzers eine benutzerseitige Einwilligung erforderlich ist“, sagt sie. Silvanovich gibt aber gleichzeitig zu, dass sie bislang auf keinen vergleichbaren Exploit gestoßen ist. Es bleibt zu hoffen, dass Ihre nun veröffentlichte Studie zu Verbesserungen im Sicherheitsdesign solcher Apps beitragen wird.

Müssen wir uns um die Sicherheit unserer Videochats Sorgen machen?

Dies ist der aktuelle Stand der Dinge hinsichtlich dieses Exploits: Glücklicherweise haben die Entwickler akribisch an Fehlerbehebungen gearbeitet. So wurde der Fehler im Laufe des vergangenen Jahres bereits in allen zuvor erwähnten Apps behoben. Sollten Sie Ihre Apps in letzter Zeit also nicht aktualisiert haben, empfehlen wir Ihnen dringend, dies jetzt nachzuholen. Die Art und Weise, wie dieser Bug entdeckt wurde, ist der Beweis dafür, dass Sicherheitslücken überall entstehen können, und dass diese von einer jeden Person aufgedeckt werden können – auch von Kindern und Jugendlichen! 

Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter

 

 

Zugehörige Artikel