Fot. YouTube

Komunikator Signal miał zapewniać najwyższe bezpieczeństwo użytkownikom. Okazuje się, że tak nie jest, a na dodatek aplikacja działa inaczej niż zapisano w dokumentacji.

Signal miał zastąpić WhatsApp, jako najpopularniejszy darmowy szyfrowany komunikator end-to-end. Mimo polecania aplikacji przez znanych influencerów i „ekspertów” aplikacja dalej pozostaje w niszy.

A co gorsza, nie zapewnia pełnego bezpieczeństwa i działa inaczej niż przekonują twórcy. Najnowszą odsłoną zamieszania wokół Signal są tzw. kody bezpieczeństwa.

Zespół ds. cyberbezpieczeństwa (w składzie: Kelly Kaoudis, John Jackson, Sick Codes i Robert Willis) odkrył, że wbrew zapewnieniom z dokumentacji Signal kody nie ulegają zresetowaniu przy zmianie lub reinstalacji aplikacji. Według zapewnieniom twórców, gdy nasz rozmówca lub my sami zmieniamy urządzenie, na którym korzystamy z aplikacji, albo reinstalujemy aplikację to kody bezpieczeństwa naszych rozmów powinien ulec zmianie.

Mechanizm ten miał zapewnić użytkownikom najwyższą poufność rozmów i bronić przed atakami osób trzecich.

Tak się jednak nie działo. Zespół odkrył również, że nasi rozmówcy też nie otrzymują informacji, że kod bezpieczeństwa uległ zmianie.

W testach sprawdzano zachowanie aplikacji na systemach operacyjnych: iOS, Google Android, Windows, Linux i OSX.

Po przedstawieniu raportu badacze odkryli, że błąd, który obserwowali został w tajemniczy sposób rozwiązany. Zdaniem zespołu był to efekt „łatki” wypuszczonej przez Signal.

Co więcej, zapis w dokumentacji uległ po cichu zmianie po 22 maja. Od teraz w dokumentacji możemy przeczytać, że kody bezpieczeństwa „nie zawsze ulegają zmianie” przy zmianie urządzenia lub reinstalacji aplikacji.

Szef Signal, Moxie Marlinspike, dopytywany o błąd na Twitterze nie krył zdenerwowania. „Nawet jeśli Signal „po cichu załatał” aplikację (aby działała tak jak powinna) to w czym problem?” – irytował się Marlinspike.

Jednak reinstalacja lub instalacja Signal na nowym urządzeniu powinna zmieniać kody bezpieczeństwa, bo tak to „powinno działać”. A tak się nie działo.

Źródło: Bleeping Computer

Pokaż więcej Redakcja
Pokaż więcej w  Aktualne

Zobacz też

Ile kosztuje Niebezpiecznik? Konieczny za pieniądze promował niebezpieczne oprogramowanie

Rzekomi eksperci od cyberbezpieczeństwa promowali podatne na ataki hakerów oprogramowanie.…