TM SGNL

Die Schwachstelle betrifft TM SGNL (auch als Archive Signal bekannt), eine Anwendung von TeleMessage zur revisionssicheren Archivierung von Nachrichten. Sie liegt nicht in der App selbst, sondern in deren Archivierungs-Backend: Dieses speichert Kopien der Nachrichten von TM-SGNL-Nutzern im Klartext, also unverschlüsselt. Das widerspricht der herstellereigenen Darstellung, wonach die Kommunikation durchgängig Ende-zu-Ende-verschlüsselt sei – vom Mobiltelefon bis hinein in das Unternehmensarchiv. Tatsächlich verhält sich das Backend anders als dokumentiert; man spricht hier von versteckter, nicht offengelegter Funktionalität. Wer Zugriff auf das Backend erlangt, kann die archivierten Nachrichteninhalte direkt mitlesen, ohne eine Verschlüsselung überwinden zu müssen. Betroffen sind Organisationen, die TM SGNL zur Archivierung einsetzen und sich auf die zugesicherte durchgehende Verschlüsselung verlassen. Die Lücke wurde bereits aktiv ausgenutzt.