Ne všechny zprávy odeslané přes Signal jsou zničeny
V důsledku skandálů s porušením dat[1] Zabezpečení vašeho online soukromí je v dnešní době jednou z nejdůležitějších věcí. Zde je několik aplikací, které mají zlepšit naši online bezpečnost. Jednou z nich je aplikace pro šifrování dat s názvem Signal.
Oficiálně má program Signal poskytovat end-to-end šifrování dat[2] na všechny zprávy odeslané mezi uživateli. Jednou z nejlepších funkcí této aplikace je, že je schopna po určité době zničit zprávy a nezanechat žádné stopy textu, videa, zvuku nebo jiných komunikačních souborů. Odborníci na zabezpečení přirozeně shledávají aplikaci Signal důvěryhodnou a užitečnou.[3]
Verze aplikace pro Mac však může mít konkrétní bezpečnostní chybu, kterou nedávno objevili bezpečnostní výzkumníci. Zdá se, že ve výchozím nastavení se oznámení Signalu na Macu zobrazují jako vyskakovací okna a zobrazují jméno kontaktu a obsah zprávy přímo na obrazovce. Tyto zprávy se navíc zkopírují do oznamovací lišty a tam se uchovávají, i když jsou v aplikaci nastaveny na sebezničení.
Zranitelnost aplikace je opakem jejího cíle
Tuto chybu objevil bezpečnostní výzkumník Alec Muffett, který varoval ostatní uživatele na Twitteru:[4]
Pokud používáte desktopovou aplikaci @signalapp pro Mac, zkontrolujte lištu oznámení; zprávy se tam zkopírují a zdá se, že přetrvávají – i když „zmizí“ zprávy, které byly smazány/vymazány z aplikace.
Bezpečnostní expert se obával, že není známo, zda Mac tato data uchovává někde jinde v systému a zda by je později mohli obnovit hackeři nebo jiní zákeřní aktéři.
Brzy se ukázalo, že jeho obavy byly oprávněné, jak ve svém příspěvku na blogu vysvětlil Patrick Wardle, bezpečnostní výzkumník Mac a hlavní výzkumný pracovník společnosti Digital Security.[5] že kompilované informace jsou uloženy v databázi SQLite a mohou k nim přistupovat kdokoli s jednoduchými uživatelskými oprávněními. Všechna oznámení, která jsou smazána v aplikaci Signal, jsou tedy stále uchovávána v systému Mac, dokud nebude vymazána.
Podle Wardlea tento aspekt chování aplikace maří cíl Signal, protože všechny informace mohou získat hackeři, malware nebo kdokoli s přístupem k cílenému Macu.
Udržujte svá soukromá data v bezpečí tím, že deaktivujete oznámení Signal
Celkově zprávy o takovém chování Signal nepředstavují vážnou hrozbu pro běžného uživatele. Koneckonců, bezpečnostní opatření antivirových programů by se měla obejít dříve, než bude možné k datům přistupovat a sklízet je. Uživatelé, kteří jsou političtí nebo sledovací aktivisté, agenti nebo podobní, by však pravděpodobně měli mít na paměti, že takový scénář je možný a přijmout zvláštní opatření.
Jedním ze způsobů, jak zabránit Macu v tom, aby si „mizející“ zprávy ponechal, je deaktivovat upozornění v aplikaci Signal prostřednictvím Nastavení aplikace. Jednoduše přejděte do Nastavení na desktopové verzi aplikace, vyhledejte Oznámení a zaškrtněte možnost „Ani jméno, ani zpráva“. Tím zabráníte ukládání zpráv do databáze; všechna již zaznamenaná data by však měla být odstraněna ručně.