Inte alla meddelanden som skickas via Signal förstörs
I kölvattnet av dataintrångsskandaler,[1] att hålla din integritet online säker är en av de viktigaste sakerna nuförtiden. Här kommer flera applikationer som ska förbättra vår onlinesäkerhet. En av dem är en datakrypterande applikation som heter Signal.
Officiellt är signalprogrammet tänkt att tillhandahålla end-to-end datakryptering[2] till alla meddelanden som skickas mellan användare. En av de bästa funktionerna i denna applikation är att den kan förstöra meddelanden efter en viss tid och inte lämna några fotavtryck av text, video, ljud eller andra kommunikationsfiler. Naturligtvis har säkerhetsexperter hittat Signal pålitlig och användbar app.[3]
Mac-versionen av programmet kan dock ha ett särskilt säkerhetsbrist som nyligen upptäcktes av säkerhetsforskare. Det verkar som att Signals aviseringar på Mac som standardinställningar visas som popup-fönster och visar kontaktens namn och meddelandeinnehållet direkt på skärmen. Dessutom kopieras dessa meddelanden till meddelandefältet och förvaras där, även om de är inställda på att förstöra sig själv i appen.
Appens sårbarhet är motsatsen till dess mål
Denna brist upptäcktes av en säkerhetsforskare Alec Muffett som varnade andra användare på Twitter:[4]
Om du använder @signalapp-skrivbordsappen för Mac, kontrollera ditt meddelandefält; meddelanden kopieras dit och de verkar bestå - även om de "försvinner" meddelanden som har raderats/raderats från appen.
Säkerhetsexperten var orolig över att det är okänt om Mac lagrar denna data någon annanstans i systemet och om hackare eller andra illvilliga aktörer senare skulle kunna återställa dem.
Det blev snart uppenbart att hans oro var välgrundad, som Patrick Wardle, Mac-säkerhetsforskare och en forskningschef vid Digital Security förklarade i sitt blogginlägg[5] att den kompilerade informationen lagras i en SQLite-databas och kan nås av vem som helst med enkla användarbehörigheter. Således hålls alla meddelanden som raderas på Signal-appen fortfarande kvar i Mac tills den raderas.
Enligt Wardle motverkar denna aspekt av appbeteendet målet för Signal, eftersom all information kan hämtas av hackare, skadlig programvara eller vem som helst som har tillgång till den riktade Macen.
Håll din privata data säker genom att inaktivera signalaviseringar
Sammantaget är nyheterna om sådan Signals beteende inte ett allvarligt hot mot en vanlig användare. När allt kommer omkring bör säkerhetsåtgärderna för antivirusprogram förbigås innan data kan nås och skördas. Användare som är politiska aktivister eller övervakningsaktivister, agenter eller liknande bör dock antagligen ha i åtanke att ett sådant scenario är möjligt och vidta extra försiktighetsåtgärder.
Ett sätt att hindra Mac från att behålla de "försvinnande" meddelandena är att inaktivera aviseringar i Signal är via appens inställningar. Gå helt enkelt till Inställningar på skrivbordsversionen av appen, hitta sedan Aviseringar och markera alternativet "Varken namn eller meddelande." Detta kommer att förhindra att meddelanden lagras i databasen; dock bör all data som redan registrerats tas bort manuellt.