Door een kwetsbaarheid in de versleutelde chat-app Signal kon de microfoon van gebruikers, zonder interactie, op afstand ingeschakeld worden. Het betreft een soortgelijk beveiligingslek waar FaceTime eerder dit jaar mee te maken kreeg.
Google-onderzoeker Natalie Silvanovich ontdekte de kwetsbaarheid in de Androidversie van Signal. Door een fout beantwoordde Signal een inkomend gesprek voordat de persoon die gebeld werd, opnam.
Inkomende Gesprek
Hierdoor kon de microfoon op afstand en zonder interactie van de gebruiker ingeschakeld worden. Een kwaadwillende had de mogelijkheid om via een aangepaste versie van Signal een bericht naar de telefoon van het doelwit te sturen, tijdens het inkomende gesprek. Met behulp van dit bericht kon de telefoon van het doelwit het gesprek beantwoorden.
Beveiligingsupdate
De makers van Signal hebben een beveiligingsupdate ter beschikking gesteld om dit probleem op te lossen. Signal-ontwikkelaar Moxie Marlinspike heeft via Twitter laten weten dat de telefoon wel zou rinkelen. Het zou ook zichtbaar zijn dat er naar het toestel gebeld was.