Signal для Мас не удаляет «самоуничтожающиеся» сообщения
macOS создает копию исчезающих сообщений в базе данных Центра уведомлений системы.
Исследователи в области кибербезопасности выявили недочет в macOS-версии популярного мессенджера Signal. Как оказалось, клиент не удаляет «самоуничтожающиеся» сообщения с системы получателя, что ставит под угрозу конфиденциальность контента сообщений.
По идее, исчезающие сообщения в Signal должны самоуничтожаться по прошествии определенного периода времени, установленного отправителем, не оставляя никаких следов ни на устройстве получателя, ни на серверах Signal. Однако исследователь Алек Маффетт (Alec Muffett) обнаружил, что такие сообщения можно просмотреть, даже если они были удалены из приложения.
Как пояснил специалист Патрик Уордл (Patrick Wardle), macOS создает копию (частичную, если речь идет о длинных сообщениях) исчезающих сообщений в базе данных Центра уведомлений системы, откуда они могут быть восстановлены в любой момент. По словам исследователя, при включении уведомлений для приложения Signal в macOS сервис будет отображать уведомления для исчезающих сообщений, в том числе в форме сокращенных сообщений (обычно это первые строчки сообщения).
Подобное поведение представляет несколько рисков потери конфиденциальности. В частности, исчезающие сообщения могут сохраняться в пользовательском интерфейсе Центра уведомлений macOS даже после удаления из мессенджера и отображаться на панели уведомлений, пока пользователь не закроет интерфейс. Кроме того, в БД SQLite Центра уведомлений также сохраняется копия сокращенного сообщения, доступ к которой может получить пользователь с обычными привилегиями или вредоносное приложение.
Для защиты контента сообщений специалисты рекомендуют отключить функцию уведомлений, пока Signal не исправит проблему.
Signal – бесплатное приложение с открытым кодом, доступное для телефонов на базе Android, iOS, а так же для персональных компьютеров. В приложении реализовано сквозное шифрование, что позволяет пользователям Signal отправлять зашифрованные групповые и индивидуальные текстовые сообщения, фотографии и видео-файлы, а также совершать зашифрованные телефонные и видео звонки.