Signal is veilig, zoals door hackers is bewezen.

Gebruikers van de berichten-app Signal zijn door een hackersaanval getroffen. We analyseren wat er is gebeurd en waarom deze aanval juist aantoonde dat Signal betrouwbaar is.

Gebruikers van de berichten-app Signal zijn door een hackersaanval getroffen. We analyseren wat er is gebeurd en waarom deze aanval juist aantoonde dat Signal betrouwbaar is.

Op 15 augustus meldde het Signal-team dat onbekende hackers gebruikers van de berichten-app hadden aangevallen. We leggen uit waarom dit incident de voordelen van Signal aantoont ten opzichte van sommige andere berichten-apps.

Wat is er gebeurd?

Volgens de verklaring die Signal heeft uitgegeven, heeft de aanval ongeveer 1900 gebruikers van de app getroffen. Aangezien Signal meer dan 40 miljoen actieve gebruikers per maand kent, heeft het incident slechts een klein deel van hen getroffen. Signal wordt echter vooral gebruikt door mensen die echt belang hechten aan de privacy van hun correspondentie. Hoewel de aanval dus slechts een zeer klein deel van de gebruikers trof, was dit toch behoorlijk groot nieuws in de wereld van informatiebeveiliging.

Als gevolg van de aanval konden hackers vanaf een ander apparaat inloggen op het account van het slachtoffer, of eenvoudigweg te weten komen of de eigenaar van een bepaald telefoonnummer Signal gebruikt. Van deze 1900 nummers waren de aanvallers specifiek geïnteresseerd in drie daarvan, waarna Signal van een van deze drie gebruikers bericht kreeg dat hun account zonder hun medeweten op een ander apparaat was geactiveerd.

Hoe gebeurde dit?

Op de pagina’s van Kaspersky Daily hebben we regelmatig gesproken over het feit dat Signal een veilige berichten-app is, en toch werd die dus met succes aangevallen. Betekent dit dat de befaamde veiligheid en privacy slechts een mythe zijn? Laten we eens kijken hoe deze aanval er precies uitzag en welke rol Signal hierin speelde.

Laten we beginnen met het feit dat Signal-accounts, net als bij bijvoorbeeld WhatsApp en Telegram, gekoppeld zijn aan een telefoonnummer. Dit is een gangbare praktijk, maar gebeurt niet overal. Zo vermeldt de beveiligde berichten-app Threema trots als een van zijn verkoopargumenten dat het geen accounts aan telefoonnummers koppelt. In Signal is een telefoonnummer nodig voor authenticatie: de gebruiker voert zijn/haar telefoonnummer in en vervolgens wordt er in een sms-bericht een code gestuurd. Deze code moet worden ingevoerd: als die juist is, betekent dit dat de gebruiker inderdaad de eigenaar is van het nummer.

De verzending van dergelijke sms’jes met eenmalige codes wordt verzorgd door gespecialiseerde bedrijven die dezelfde authenticatiemethode aanbieden voor meerdere diensten. In het geval van Signal is deze provider Twilio – en het is dit bedrijf dat het doelwit was van de hackers.

De volgende stap was phishing. Sommige Twilio-werknemers ontvingen berichten dat hun wachtwoorden verouderd zouden zijn en geüpdatet moesten worden. Om dat te doen, werden ze uitgenodigd om op een (natuurlijk) phishing-link te klikken. Een werknemer hapte toe, ging naar de valse website en vulde zijn gegevens in, die rechtstreeks in handen van de hackers vielen.

Deze inloggegevens gaven hen toegang tot de interne systemen van Twilio, waardoor ze sms-berichten naar gebruikers konden sturen en deze ook konden lezen. De hackers gebruikten de dienst vervolgens om Signal op een nieuw apparaat te installeren: ze voerden het telefoonnummer van het slachtoffer in, onderschepten de sms met de activeringscode en, voilà: ze kwamen hun Signal-account binnen.

Hoe dit incident juist de robuustheid van Signal aantoont

Het blijkt dus dat zelfs Signal niet immuun is voor dit soort incidenten. Maar waarom hebben we het dan toch steeds over hun beveiliging en privacy?

Ten eerste kregen de cybercriminelen geen toegang tot de correspondentie. Signal maakt gebriuk van end-to-end-encryptie met het veilige Signal Protocol. Door end-to-end-encryptie te gebruiken, worden de berichten van gebruikers alleen op hun apparaten opgeslagen, en dus niet op de servers van Signal of ergens anders. Daarom is het hacken van de infrastructuur van Signal niet genoeg om de correspondentie van gebruikers te kunnen lezen.

Wat er wél is opgeslagen op de servers van Signal, zijn de telefoonnummers van gebruikers, evenals de nummers van hun contacten. Hierdoor kan de berichten-app het u laten weten wanneer een van uw contacten zich aanmeldt voor Signal. De gegevens worden echter eerst opgeslagen in speciale opslagplaatsen, secure enclaves genaamd, waar zelfs de ontwikkelaars van Signal geen toegang tot hebben. Ten tweede worden de nummers zelf daar niet in platte tekst opgeslagen, maar in de vorm van een hashcode. Met dit mechanisme kan de Signal-app op uw telefoon versleutelde informatie over contacten verzenden en een eveneens versleuteld antwoord krijgen over wie van uw contacten Signal gebruikt. In andere woorden: de aanvallers konden ook geen toegang verkrijgen tot de contactenlijst van gebruikers.

Ten slotte moet worden benadrukt dat Signal werd aangevallen in de toeleveringsketen – via een minder goed beschermde dienstverlener die door het bedrijf werd gebruikt. Dus dat is in dit geval de zwakke schakel. Signal heeft hier echter ook voorzorgsmaatregelen tegen.

De app bevat een functie genaamd Registratievergrendeling (om deze te activeren gaat u naar Instellingen → Jouw registratie → Registratievergrendeling), die vereist dat een door de gebruiker gedefinieerde pincode wordt ingevoerd bij het activeren van Signal op een nieuw apparaat. Voor het geval dat willen we verduidelijken dat de pincode in Signal niets te maken heeft met het ontgrendelen van de app – dit gebeurt met dezelfde middelen die u gebruikt om uw smartphone te ontgrendelen.

Registratievergrendeling in de Signal-instellingen

Registratievergrendeling in de Signal-instellingen

Registratievergrendeling is standaard uitgeschakeld, zoals het geval was bij ten minste één van de gehackte accounts. Hierdoor slaagden de cybercriminelen erin de aanval uit te voeren door zich gedurende ongeveer 13 uur voor te doen als het slachtoffer van de aanval. Als Registratievergrendeling was ingeschakeld, hadden ze niet op de app kunnen inloggen met alleen het telefoonnummer en een verificatiecode.

Wat kan er worden gedaan om berichten beter te beschermen?

Samengevat: de aanvallers hebben Signal zelf niet gehackt, maar hun partner Twilio, waardoor ze toegang kregen tot 1900 accounts, die ze gebruikten om in te loggen op drie van die accounts. Bovendien kregen ze geen toegang tot correspondentie of contactlijsten, en konden ze alleen proberen zich voor te doen als de gebruikers van de accounts waar ze toegang tot hadden verkregen. Als deze gebruikers de Registratievergrendeling hadden ingeschakeld, was zelfs dat niet gelukt.

En hoewel de aanval formeel een succes was, is er geen reden tot paniek en het stoppen met het gebruik van Signal. Het blijft een behoorlijk veilige app die goede privacy biedt voor uw berichten, zoals dus ook blijkt uit dit hack-incident. Maar u kunt hem nog veiliger maken:

  • Schakel Registratievergrendeling in de Signal-instellingen in, zodat cybercriminelen zich niet bij uw account kunnen aanmelden zonder uw privé-pincode te kennen, zelfs niet als ze de eenmalige code hebben om Signal op een nieuw apparaat te activeren.
  • Lees onze blogpost over de beveiligings- en privacyinstellingen in Signal en configureer uw app. Signal heeft zowel basisinstellingen als opties voor degenen die wat paranoïde zijn aangelegd, die extra beveiliging bieden ten koste van wat gebruiksgemak.
  • En installeer natuurlijk een beveiligingsapp op uw smartphone. Als er malware op apparaat terechtkomt, beschermt geen enkele beveiliging van Signal uw berichten en contactenlijst. Maar als malware niet wordt binnengelaten, of in ieder geval op tijd wordt ontdekt, lopen uw gegevens ook geen gevaar.
Tips