De microfoon van Android-smartphones met de versleutelde berichtenapp Signal erop was op afstand in te schakelen via de belfunctie van de app. Google-onderzoeker Natalie Silvanovich vond het lek, dat inmiddels gedicht is.
Het lek lijkt op een eerder probleem met de app Facetime, waarbij een gebruiker zichzelf kon toevoegen aan een groepsgesprek zonder dat iemand zijn telefoontje daadwerkelijk aannam. Zolang de telefoon van de ontvanger rinkelde, ging Facetime er namelijk vanuit dat de beller deel was van het gesprek.
Signal neemt een telefoongesprek pas aan op het moment dat een gebruiker op ‘accepteer’ drukt, óf als de telefoon van de beller het bericht ontvangt dat het gesprek aanvaard is. Met een aangepaste versie van Signal zou het mogelijk zijn geweest om zo’n bericht naar de telefoon van de ontvanger te sturen als hij nog niet op ‘accepteer’ heeft gedrukt, waarna de app de connectie tot stand brengt.
Volgens Signal-ontwikkelaar Matthew Rosenfeld (ook wel bekend als Moxie Marlinspike) was het lek alleen aanwezig op Android. Ook was het niet mogelijk om misbruik te maken van het lek zonder de telefoon van de ontvanger te laten rinkelen, en werd het gesprek vervolgens gewoon in de bellijst gemeld. “Het zette dus niet ‘stilletjes de microfoon aan’.”
Het lek werd in september ontdekt. Het zou op dezelfde dag al gedicht zijn in een update van Signal.
