הודעות איתות "הרס עצמי" נשמרות בגרסת Mac

לא כל ההודעות שנשלחות דרך Signal נמחקות

ההודעות של Signal Disappinging מאוחסנות ב-Mac

בעקבות שערוריות פרצות מידע,^[1] שמירה על אבטחת הפרטיות המקוונת שלך היא אחד הדברים החשובים ביותר בימינו. הנה יישומים מרובים שאמורים לשפר את האבטחה המקוונת שלנו. אחד מהם הוא אפליקציה להצפנת נתונים בשם Signal.

באופן רשמי, תוכנית Signal אמורה לספק את הצפנת הנתונים מקצה לקצה^[2] לכל ההודעות שנשלחות בין משתמשים. אחת התכונות הטובות ביותר של אפליקציה זו היא שהיא מסוגלת להרוס הודעות לאחר פרק זמן מסוים ולא להשאיר טביעת רגל של טקסט, וידאו, אודיו או קבצי תקשורת אחרים. כמובן, מומחי אבטחה מצאו את האפליקציה האמינה ושימושית של Signal.^[3]

עם זאת, בגרסת ה-Mac של האפליקציה עשויה להיות פגם בטיחותי מסוים שהתגלה לאחרונה על ידי חוקרי אבטחה. נראה שבהגדרות ברירת המחדל, ההתראות של Signal ב-Mac מופיעות כחלונות קופצים ומציגות את שם איש הקשר ואת תוכן ההודעה ישירות על המסך. בנוסף, ההודעות הללו מועתקות לסרגל ההתראות ונשמרות שם, גם אם הן מוגדרות להרס עצמי באפליקציה.

הפגיעות של האפליקציה הפוכה למטרתה

הפגם הזה התגלה על ידי חוקר אבטחה אלק מאפט שהזהיר משתמשים אחרים בטוויטר:^[4]

אם אתה משתמש באפליקציית שולחן העבודה @signalapp עבור Mac, בדוק את סרגל ההתראות שלך; הודעות מועתקות לשם ונראה שהן נמשכות - גם אם הן "נעלמות" הודעות שנמחקו/נמחקו מהאפליקציה.

מומחה האבטחה היה מודאג מכך שלא ידוע אם Mac שומר את הנתונים הללו במקום אחר במערכת ואם האקרים או שחקנים זדוניים אחרים יוכלו לשחזר אותם מאוחר יותר.

עד מהרה התברר שדאגותיו מבוססות היטב, כפי שהסביר פטריק ורדל, חוקר אבטחת מק וקצין מחקר ראשי ב-Digital Security בפוסט בבלוג שלו.^[5] שהמידע שנאסף מאוחסן במסד נתונים של SQLite וניתן לגשת אליו לכל אחד עם הרשאות משתמש פשוטות. לפיכך, כל ההתראות שנמחקות באפליקציית Signal עדיין נשמרות בתוך Mac עד שהיא תימחק.

לדברי Wardle, היבט זה של התנהגות האפליקציה מביס את המטרה של Signal, מכיוון שניתן לאחזר את כל המידע על ידי האקרים, תוכנות זדוניות או כל מי שיש לו גישה למק הממוקד.

שמור על הנתונים הפרטיים שלך בטוחים על ידי השבתת התראות איתות

בסך הכל, החדשות על התנהגותו של Signal כזה אינן איום רציני על משתמש רגיל. אחרי הכל, יש לעקוף את אמצעי האבטחה של תוכנות אנטי-וירוס לפני שניתן יהיה לגשת לנתונים ולאסוף אותם. עם זאת, משתמשים שהם פעילים פוליטיים או מעקבים, סוכנים או דומים, צריכים כנראה לזכור שתרחיש כזה אפשרי ולנקוט אמצעי זהירות נוספים.

אחת הדרכים למנוע מ-Mac לשמור את ההודעות ה"נעלמות" היא להשבית התראות ב-Signal היא דרך ההגדרות של האפליקציה. כל שעליך לעשות הוא ללכת להגדרות בגרסת שולחן העבודה של האפליקציה, ואז למצוא התראות וסמן את האפשרות "לא שם ולא הודעה". זה ימנע מאחסנת הודעות במסד הנתונים; עם זאת, יש לבטל את כל הנתונים שכבר נרשמו באופן ידני.