Nisu sve poruke poslane putem Signala uništene
U svjetlu skandala oko povrede podataka,[1] Očuvanje vaše internetske privatnosti jedna je od najvažnijih stvari u današnje vrijeme. Ovdje dolazi više aplikacija koje bi trebale poboljšati našu online sigurnost. Jedna od njih je aplikacija za šifriranje podataka pod nazivom Signal.
Službeno, program Signal trebao bi osigurati end-to-end enkripciju podataka[2] na sve poruke poslane između korisnika. Jedna od najboljih značajki ove aplikacije je da je sposobna uništiti poruke nakon određenog vremena i ne ostaviti otisak tekstualnih, video, audio ili drugih komunikacijskih datoteka. Naravno, stručnjaci za sigurnost smatraju da je Signal pouzdana i korisna aplikacija.[3]
Međutim, Mac verzija aplikacije mogla bi imati poseban sigurnosni nedostatak koji su nedavno otkrili istraživači sigurnosti. Čini se da se prema zadanim postavkama obavijesti Signala na Macu pojavljuju kao skočni prozori i prikazuju ime kontakta i sadržaj poruke izravno na zaslonu. Osim toga, te se poruke kopiraju u traku s obavijestima i tamo čuvaju, čak i ako su u aplikaciji postavljene na samouništenje.
Ranjivost aplikacije suprotna je njenom cilju
Ovaj nedostatak otkrio je sigurnosni istraživač Alec Muffett koji je upozorio druge korisnike na Twitteru:[4]
Ako koristite desktop aplikaciju @signalapp za Mac, provjerite traku s obavijestima; poruke se tamo kopiraju i čini se da traju - čak i ako su poruke koje "nestaju" koje su izbrisane/izbrisane iz aplikacije.
Stručnjak za sigurnost bio je zabrinut da je nepoznato čuva li Mac ove podatke negdje drugdje u sustavu i mogu li ih hakeri ili drugi zlonamjerni akteri kasnije oporaviti.
Ubrzo je postalo očito da su njegove brige bile utemeljene, kao što je Patrick Wardle, Mac sigurnosni istraživač i glavni istraživač u Digital Security, objasnio u svom postu na blogu[5] da su prevedene informacije pohranjene u SQLite bazi podataka i da im može pristupiti bilo tko s jednostavnim korisničkim dopuštenjima. Stoga se sve obavijesti koje su izbrisane u aplikaciji Signal i dalje čuvaju unutar Maca dok se ne izbrišu.
Prema Wardleu, ovaj aspekt ponašanja aplikacije pobjeđuje cilj Signala, budući da sve informacije mogu dohvatiti hakeri, zlonamjerni softver ili bilo tko s pristupom ciljanom Macu.
Očuvajte svoje privatne podatke tako da onemogućite obavijesti o signalu
Općenito, vijest o takvom ponašanju Signala nije ozbiljna prijetnja redovitom korisniku. Uostalom, sigurnosne mjere antivirusnih programa treba zaobići prije nego što se podacima može pristupiti i prikupiti. Međutim, korisnici koji su politički ili nadzorni aktivisti, agenti ili slično, vjerojatno bi trebali imati na umu da je takav scenarij moguć i poduzeti dodatne mjere opreza.
Jedan od načina da spriječite Mac da zadrži poruke koje "nestaju" je da onemogućite obavijesti u Signalu putem postavki aplikacije. Jednostavno idite na Postavke na desktop verziji aplikacije, zatim pronađite Obavijesti i označite opciju "Ni ime ni poruka". To će spriječiti pohranjivanje poruka u bazu podataka; međutim, sve već snimljene podatke treba ručno eliminirati.