رسم توضيحي لموقع thehackernews.comاكتسبت Signal شعبية بعد أن أصبحت تُعرف باسم "الرسول المفضل"
لإدوارد سنودن . في عام 2015 ،
قال إنه يستخدم تطبيق Signal يوميًا للتواصل مع الصحفيين.
يتم وضع برنامج Signal messenger كوسيلة آمنة بشكل خاص لتبادل المعلومات التي تستخدم التشفير من طرف إلى طرف ، والذي يجب أن يستبعد وصول طرف ثالث إلى محتويات المراسلات. ومع ذلك ، كما اتضح ، هناك حالات تكون فيها جميع الجهود المبذولة لتشفير معلومات الإشارة دون جدوى.
كان Signal متاحًا في البداية فقط كتطبيق للهاتف المحمول ، ولكن الراحة تطلبت إصدار سطح مكتب ، والذي ظهر في النهاية كإضافة لمتصفح Chrome. منذ نهاية أكتوبر 2017
، أصبح الإصدار الجديد من تطبيق قائم بذاته لا يعتمد على المتصفح
متاحًا للمستخدمين. منذ تلك اللحظة ، تلقت إضافة Chrome حالة
انتهاء الصلاحية ، وفي وقت نشر هذه المقالة ، ينتهي دعمها في أقل من شهر. هنا تبدأ القصة الحزينة.
افعلها مرة واحدة
شارك باحث أمن المعلومات ماثيو سويش في اكتشاف أن أحد رسل التشفير الأكثر أمانًا "زرع" خنزيرًا مثيرًا للإعجاب لدى مستخدميه. يقوم برنامج Signal messenger في عملية الترحيل من امتداد Chrome إلى عميل سطح مكتب كامل
بتصدير رسائل المستخدم إلى ملفات نصية غير مشفرة.
اكتشف Matthew Sewish هذا الخطأ الخطير عند العمل على macOS عندما قام بتحديث Signal. ذهب الصحفيون في
BleepingComputer إلى أبعد من ذلك واكتشفوا أن نفس المشكلة تظهر في Linux Mint.
عند تصدير مربعات الحوار إلى قرص ، تقوم Signal بتشكيل مجلدات منفصلة تسمى بالاسم ورقم هاتف جهات الاتصال. يتم تخزين جميع محتويات مربع الحوار بتنسيق JSON بالنص العادي. لا يعرض البرنامج أي تحذيرات من أن المعلومات يتم فك تشفيرها وتخزينها على القرص. هذه اللحظة هي المفتاح لخطر تسرب البيانات السرية.
أسوأ شيء في هذه الحالة هو أن الرسائل غير المشفرة تبقى على القرص حتى بعد اكتمال الترقية ، وسيتعين عليك حذفها يدويًا ، إذا خمن المستخدم بالطبع ...
قم بعمل اثنين
لكن ذلك لم يكن كافيا! تم الكشف عن المشكلة الثانية في Signal Desktop من قبل باحث آخر ، ناثان سوش.
علم ناثان سوتشي أنه أثناء تثبيت Signal Desktop ، يتم
إنشاء قاعدة بيانات مشفرة
db.sqlite بأرشيف لرسائل المستخدم. يتم إنشاء مفتاح التشفير لقاعدة البيانات بواسطة برنامج المراسلة دون تفاعل المستخدم ويتم استخدامه في كل مرة تحتاج فيها لقراءة قاعدة البيانات باستخدام أرشيف الرسائل. من كان يظن أن المفتاح يتم تخزينه محليًا ونص عادي؟ يمكن العثور على هذا المفتاح على جهاز الكمبيوتر في ملف
٪ AppData٪ \ Signal \ config.json وعلى جهاز Mac في
~ / Library / Application Support / Signal / config.json .
تفعل ثلاثة ، حرق اللهب الأزرق إشارة!
يبدو أن مشاكل Signal لا تنتهي عند هذا الحد. على سبيل المثال ، يشير خبير آخر ، هو كيث ماكامون ، إلى أن Signal Desktop يقوم بعمل ضعيف في إزالة المرفقات من "اختفاء" الرسائل.
تم تصور وظيفة "الاختفاء" من قبل مطوري Signal كطبقة أمان إضافية ، ولكنها في الواقع لا تعمل بشكل غير موثوق به. وفقًا لـ McCammon ، تظل جميع المرفقات في محرك مستخدمي Signal حتى بعد أن كان من المفترض حذفها.