Wire ist eine Kommunikations- und Kollaborationsplattform, die vom Hersteller selbst mit Fokus auf die „absolute Sicherheit Ihrer Daten“ beschrieben wird.
Der Wire-Chat-Messenger bietet Nutzenden unter anderem auch die Möglichkeit, gesendete Nachrichten zu löschen oder selbstlöschende Nachrichten zu senden. Die anderen Chat-Teilnehmer können die gelöschte Nachricht anschließend nicht mehr lesen. So zumindest die Theorie.
Unser Kollege Kai Dybionka, BSI-zertifizierter Penetrationstester, hat in der Löschfunktion eine Schwachstelle entdeckt:
Wire erstellt eine Protokolldatei in %appdata, die auch die Wire Chat-Nachrichten speichert. Vom Nutzenden gelöschte Nachrichten werden nicht – wie eigentlich erwartet – umgehend gelöscht. Für eine begrenzte Zeit liegen die Rohdaten der gelöschten Nachrichten weiterhin vor. Das liegt daran, dass diese in der Protokolldatei erst gelöscht werden, wenn sie in die Wire-eigene Datenbank übertragen wurden. Mittels des im Advisory mit veröffentlichten Powershell-Skripts können somit auch die gelöschten Wire Chat-Nachrichten (die bisher nicht in die Datenbank übertragen wurden) wieder angezeigt werden.
Wire wurde erstmals im Mai 2022 von uns über die gefundene Schwachstelle im Rahmen unseres Responsible Disclosure Prozesses informiert. Im weiteren Kommunikationsverlauf wurde seitens Wire deutlich gemacht, dass vorerst nicht geplant ist, die gefundene Schwachstelle zu beheben.
Alle weiteren Details finden Sie in unserem Advisory secuvera-SA-2022-01.