Kõik signaali kaudu saadetud sõnumid ei ole hävitatud
Seoses andmete rikkumise skandaalidega[1] Interneti-privaatsuse kaitsmine on tänapäeval üks olulisemaid asju. Siin on mitu rakendust, mis peaksid parandama meie võrguturvalisust. Üks neist on andmete krüptimise rakendus nimega Signal.
Ametlikult peaks Signaali programm pakkuma andmete täielikku krüptimist[2] kõikidele kasutajate vahel saadetud sõnumitele. Selle rakenduse üks parimaid omadusi on see, et see on võimeline teatud aja möödudes sõnumid hävitama ja ei jäta teksti-, video-, heli- või muude suhtlusfailide jälge. Loomulikult on turvaeksperdid leidnud, et Signal on usaldusväärne ja kasulik rakendus.[3]
Rakenduse Maci versioonil võib aga olla konkreetne turvaviga, mille turvateadlased hiljuti avastasid. Näib, et vaikeseadete kohaselt kuvatakse Signali märguanded Macis hüpikakendena ja kuvavad kontakti nime ja sõnumi sisu otse ekraanil. Lisaks kopeeritakse need sõnumid teavitusribale ja hoitakse seal isegi siis, kui need on rakenduses seadistatud ennast hävitama.
Rakenduse haavatavus on vastupidine selle eesmärgile
Selle vea avastas turvateadlane Alec Muffett, kes hoiatas Twitteris teisi kasutajaid:[4]
Kui kasutate @signalapp töölauarakendust Maci jaoks, kontrollige oma teavitusriba; sõnumid kopeeritakse sinna ja need näivad püsivat – isegi kui need on "kaduvad" sõnumid, mis on rakendusest kustutatud/kustutatud.
Turvaekspert oli mures, et pole teada, kas Mac hoiab neid andmeid kusagil mujal süsteemis ja kas häkkerid või muud pahatahtlikud osalised võivad need hiljem taastada.
Peagi selgus, et tema mured olid põhjendatud, nagu selgitas oma ajaveebipostituses Maci turvateadlane ja Digital Security juhtivteadur Patrick Wardle.[5] et koostatud teave on salvestatud SQLite'i andmebaasi ja sellele pääseb ligi igaüks, kellel on lihtsad kasutajaõigused. Seega hoitakse kõiki rakenduses Signal kustutatud teatisi Macis seni, kuni see kustutatakse.
Wardle'i sõnul rikub see rakenduse käitumise aspekt Signali eesmärki, kuna kogu teabe saavad hankida häkkerid, pahavara või kõik, kellel on juurdepääs sihitud Macile.
Hoidke oma privaatseid andmeid turvalisena, keelates signaaliteatised
Üldiselt ei kujuta uudised sellisest Signaali käitumisest tavakasutajale tõsist ohtu. Viirusetõrjeprogrammide turvameetmetest tuleks ju enne andmetele juurdepääsu ja andmete kogumist mööda minna. Kuid kasutajad, kes on poliitilised või jälitusaktivistid, agendid või sarnased, peaksid ilmselt meeles pidama, et selline stsenaarium on võimalik, ja võtma kasutusele täiendavad ettevaatusabinõud.
Üks võimalus takistada Macil "kaduvaid" sõnumeid hoidmast on signaalide märguannete keelamine rakenduse seadete kaudu. Lihtsalt avage rakenduse töölauaversiooni jaotis Seaded, seejärel leidke märguanded ja märkige valik "Ei nime ega sõnumit". See hoiab ära sõnumite salvestamise andmebaasi; kõik juba salvestatud andmed tuleks aga käsitsi eemaldada.