Tvoje správy z tejto populárnej aplikácie neboli riadne zabezpečené. Mohol k nim pristupovať aj niekto cudzí
Signal konečne opraví bezpečnostnú medzeru v PC verzii aplikácie, ktorú mala aplikácie už od roku 2018 a riskovala s bezpečnosťou užívateľov.
Spoločnosť Signal konečne začína so zlepšovaním bezpečnosti desktop verzie aplikácie. Zmení ako ukladá šifrovacie kľúče v čistom texte. Ide o známy problém, ktorý spoločnosť zľahčovala už od roku 2018, informuje BleepingComputer.
V roku 2018 portál Bleeping Computer informoval, že keď užívateľ nainštaluje Windows alebo Mac verziu četovacej aplikácie Signal, aplikácia vytvára šifrovanú SQLite databázu, v ktorej ukladá správy užívateľa. Táto databáza je šifrovaná pomocou kľúča, ktorý generuje samotný program a užívateľ nemusí nič robiť.
Ak chce aplikácia dáta rozšifrovať, musí mať prístup k šifrovaciemu kľúču. Problém v prípade Signalu bol taký, že šifrovací kľúč ukladal v čistom texte. Znamená to, že k šifrovaciemu kľúču mohol pristúpiť akýkoľvek program, ktorý bežal na počítači užívateľa. Z praktického hľadiska teda šifrovanie nemusí existovať, pretože neposkytuje žiadnu významnejšiu ochranu.
Riešenie problému
Keď bezpečnostní analytici objavili túto medzeru v aplikácii Signal, jeden výskumník ponúkol aj riešenie. Tento bezpečnostní výskumník navrhol, že by databáza mohla byť šifrovaná heslom, ktoré by sa nikde neukladalo. Takéto riešenie môžeme vidieť v zabezpečení cloudových záloh, webových prehliadačoch, správcov hesiel alebo kryptopeňaženiek.
Portál BleepingComputer ešte v roku 2018 oboznámil spoločnosť Signal s touto bezpečnostnou medzerou, no spoločnosť sa k problému nevyjadrila. Práve naopak, podpora Signal aplikácie odpovedala na obavy užívateľov zvláštnym spôsobom.
Neprehliadni
“Šifrovací kľúč k databáze nemal byť nikdy tajomstvo. Nikdy sme netvrdili, že ponúkame At-rest šifrovanie v desktop verzii aplikácie a nikdy to nebolo našim cieľom,” vyjadril sa zamestnanec Signalu.
At-rest šifrovanie znamená šifrovanie dát, ktoré nie sú v pohybe po sieti, teda dát, ktoré len “sedia” v tvojom zariadení. Signal je zároveň aplikáciou, ktorá sa pýši svojim zabezpečením. Viacerí analytici poukázali na to, že je zvláštne, že spoločnosť reagovala takýmto spôsobom a nechcela problém opraviť.
Bezpečnostná medzera opäť vyšla na povrch
Celá situácia ohľadom slabého zabezpečenia databázy so správami opäť vyšla na povrch, keď sa Elon Musk vyjadril cez platformu X na zabezpečenie Signalu. V príspevku povedal, že Signal má známe bezpečnostné medzery, s ktorými nikto nič nerobí. Na Muskov tweet reagovala prezidentka spoločnosti Signal, Meredith Whittaker. Tá tvrdila, že aplikácia nemá žiadne známe bezpečnostné medzery a ak áno, potom by mali byť tieto medzery zodpovedným spôsobom spoločnosti oznámené.
Minulý týždeň sa k problému vyjadril aj mobilní bezpečnostní výskumníci Talal Haj Bakry a Tommy Mysk. Obaja varovali, aby užívatelia nepoužívali desktop verziu Signalu, lebo aplikácia má bezpečnostnú medzeru, ktorá existuje ešte od roku 2018.
“Elon Musk mal pravdu. Desktop verzia aplikácie šifruje lokálnu históriu četov kľúčom, ku ktorému má prístup každý bežiaci proces,” tvrdia bezpečnostní výskumníci.
Dáta z desktop verzie Signalu môžu útočníci ľahko dostať von
Keďže je jednoduché pristúpiť k šifrovaciemu kľúču, útočníci môžu s ľahkosťou nahliadnuť na uložené čety a dáta poslať na svoje servery. Whittaker sa snažila chybu zľahčiť a tvrdila, že ak má potenciálny útočník prístup k celému zariadeniu užívateľa, Signal nedokáže úplne chrániť dáta užívateľov.
Po minulotýždňovej dráme na sociálnej sieti X však Signal robí potrebné kroky na to, aby desktop verziu aplikácie ešte viac zabezpečil. Nové silnejšie šifrovanie sa čoskoro objaví v beta verzii aplikácie a po otestovaní sa môže dostať aj do plnej verzie aplikácie.
Zlepšiť šifrovanie databázy, ktorá ukladá čety užívateľa, je rozhodne správny krok vpred. Mnohí sú však znepokojení z toho, že Signal nechal problém tak dlho ležať a spravil niečo len vtedy, keď sa na sociálnych sieťach strhla vášnivá diskusia ohľadom bezpečnostných medzier počítačovej verzie aplikácie. Každopádne, PC užívatelia môžu očakávať, že v blízkej budúcnosti dostanú lepšie zabezpečenie.
Komentáre