Signal для Мас не удаляет "самоуничтожающиеся" сообщения
10.05.2018
Исследователи в области кибербезопасности выявили недочет в macOS-версии популярного мессенджера Signal. Как оказалось, клиент не удаляет "самоуничтожающиеся" сообщения с системы получателя, что ставит под угрозу конфиденциальность контента сообщений.
По идее, исчезающие сообщения в Signal должны самоуничтожаться по прошествии определенного периода времени, установленного отправителем, не оставляя никаких следов ни на устройстве получателя, ни на серверах Signal. Однако исследователь Алек Маффетт (Alec Muffett) обнаружил , что такие сообщения можно просмотреть, даже если они были удалены из приложения.
Как пояснил специалист Патрик Уордл (Patrick Wardle), macOS создает копию (частичную, если речь идет о длинных сообщениях) исчезающих сообщений в базе данных Центра уведомлений системы, откуда они могут быть восстановлены в любой момент. По словам исследователя, при включении уведомлений для приложения Signal в macOS сервис будет отображать уведомления для исчезающих сообщений, в том числе в форме сокращенных сообщений (обычно это первые строчки сообщения).
Подобное поведение представляет несколько рисков потери конфиденциальности. В частности, исчезающие сообщения могут сохраняться в пользовательском интерфейсе Центра уведомлений macOS даже после удаления из мессенджера и отображаться на панели уведомлений, пока пользователь не закроет интерфейс. Кроме того, в БД SQLite Центра уведомлений также сохраняется копия сокращенного сообщения, доступ к которой может получить пользователь с обычными привилегиями или вредоносное приложение.
Для защиты контента сообщений специалисты рекомендуют отключить функцию уведомлений, пока Signal не исправит проблему.
Signal – бесплатное приложение с открытым кодом, доступное для телефонов на базе Android, iOS, а так же для персональных компьютеров. В приложении реализовано сквозное шифрование, что позволяет пользователям Signal отправлять зашифрованные групповые и индивидуальные текстовые сообщения, фотографии и видео-файлы, а также совершать зашифрованные телефонные и видео звонки.
