O czym milczy Niebezpiecznik.pl, czyli dlaczego Signal jest niebezpieczny

Portal niebezpiecznik.pl – jak ujawniliśmy – współpracował z polskimi służbami. Tą informacją twórca portalu Piotr Konieczny, się nie chwalił.

A ma ona kluczowe znaczenie przy ocenie rzetelności rekomendacji portalu.

Żeby było jasne, nie piętnujemy współpracy z polskimi służbami, ale uważamy, że w wypadku kwestii bezpieczeństwa, powinno się takie informacje ujawniać.

Polskie tajne służby, nie sa zainteresowane, aby Polacy byli w stanie chronić swoją prywatność.

Niebezpiecznik.pl podaje, że Signal nie zbiera metadanych użytkownika. To nieprawda.

Rzekomo twórcy programu nie zbierają żadnych danych, poza koniecznymi. To też nieprawda.

Signal zbiera np. IP użytkowników do pobrania przez nich wiadomości. Posiada także możliwość określenia czasu wykonania każdej z akcji poprzez dostęp do serwera – ten zapis niekoniecznie musi wynikać z konstrukcji serwera tekstowego a konfiguracji samego proxy.

Dodatkowo – Signal jest oparty o architekturę Amazon, co pozwala na dostęp do tych danych także Amazonowi.

Sealed sender (funkcja, która ma chronić użytkownika) zabezpieczy sam identyfikator, ale już nie przykryje w żaden sposób tokenu APN czy FCM używanego do wysłania PUSH.

Jest to więc bardzo iluzoryczne ograniczenie metadanych. Na ich podstawie można już odtworzyć grafy połączeń pomiędzy użytkownikami.

Można także łatwo odtworzyć wszystkie kontakty danego użytkownika poprzez wykorzystanie ataku contact discovery (https://eprint.iacr.org/2020/1119.pdf) a odtworzenie numerów telefonów na podstawie skrótów zajmuje 0.1 ms per hash…

Jan Piński,

Mam nadzieję, że p. Piotr Konieczny odniesie się publicznie do tego tekstu.