Vsa sporočila, poslana prek Signala, niso uničena
Po škandalih z zlorabo podatkov,[1] varovanje vaše spletne zasebnosti je danes ena najpomembnejših stvari. Tukaj je več aplikacij, ki naj bi izboljšale našo spletno varnost. Ena izmed njih je aplikacija za šifriranje podatkov, imenovana Signal.
Uradno naj bi program Signal zagotavljal šifriranje podatkov od konca do konca[2] na vsa sporočila, poslana med uporabniki. Ena najboljših lastnosti te aplikacije je, da lahko po določenem času uniči sporočila in ne pušča odtisa besedilnih, video, zvočnih ali drugih komunikacijskih datotek. Seveda so varnostni strokovnjaki ugotovili, da je Signal vredna zaupanja in uporabna aplikacija.[3]
Vendar pa ima različica aplikacije Mac lahko posebno varnostno napako, ki so jo nedavno odkrili varnostni raziskovalci. Zdi se, da se pri privzetih nastavitvah obvestila Signala na Macu prikažejo kot pojavna okna in prikažejo ime stika in vsebino sporočila neposredno na zaslonu. Poleg tega so ta sporočila kopirana v vrstico z obvestili in tam shranjena, tudi če so v aplikaciji nastavljena na samouničenje.
Ranljivost aplikacije je nasprotna njenemu cilju
To napako je odkril varnostni raziskovalec Alec Muffett, ki je druge uporabnike na Twitterju opozoril:[4]
Če uporabljate namizno aplikacijo @signalapp za Mac, preverite vrstico z obvestili; sporočila se tam kopirajo in zdi se, da vztrajajo – tudi če so sporočila, ki »izginjajo«, ki so bila izbrisana/izbrisana iz aplikacije.
Strokovnjaka za varnost je skrbelo, da ni znano, ali Mac hrani te podatke nekje drugje v sistemu in ali bi jih hekerji ali drugi zlonamerni akterji lahko pozneje obnovili.
Kmalu je postalo očitno, da so bile njegove skrbi utemeljene, kot je Patrick Wardle, varnostni raziskovalec Mac in glavni raziskovalec pri Digital Security, pojasnil v svoji objavi na blogu.[5] da so prevedene informacije shranjene v bazi podatkov SQLite in do njih lahko dostopa vsak s preprostimi uporabniškimi dovoljenji. Tako so vsa obvestila, ki so izbrisana v aplikaciji Signal, še vedno shranjena v Macu, dokler se ne izbrišejo.
Po mnenju Wardla ta vidik obnašanja aplikacije premaga cilj Signala, saj lahko vse informacije pridobijo hekerji, zlonamerna programska oprema ali kdorkoli, ki ima dostop do ciljnega Maca.
Zaščitite svoje zasebne podatke tako, da onemogočite obvestila o signalih
Na splošno novica o takšnem obnašanju Signala ni resna grožnja običajnemu uporabniku. Navsezadnje je treba varnostne ukrepe protivirusnih programov zaobiti, preden je mogoče dostopati do podatkov in jih zbrati. Vendar bi morali uporabniki, ki so politični ali nadzorni aktivisti, agenti ali podobno, verjetno upoštevati, da je tak scenarij možen, in sprejeti dodatne previdnostne ukrepe.
Eden od načinov, da preprečite, da bi Mac ohranil »izginjajoča« sporočila, je, da onemogočite obvestila v Signal prek nastavitev aplikacije. Preprosto pojdite na Nastavitve v namizni različici aplikacije, nato poiščite Obvestila in označite možnost »Niti ime niti sporočilo«. To bo preprečilo shranjevanje sporočil v bazo podatkov; vendar je treba vse že zabeležene podatke odstraniti ročno.