Signal для Мас не удаляет «самоуничтожающиеся» сообщения

Signal для Мас не удаляет «самоуничтожающиеся» сообщения

macOS создает копию исчезающих сообщений в базе данных Центра уведомлений системы.

image

Исследователи в области кибербезопасности выявили недочет в macOS-версии популярного мессенджера Signal. Как оказалось, клиент не удаляет «самоуничтожающиеся» сообщения с системы получателя, что ставит под угрозу конфиденциальность контента сообщений.

По идее, исчезающие сообщения в Signal должны самоуничтожаться по прошествии определенного периода времени, установленного отправителем, не оставляя никаких следов ни на устройстве получателя, ни на серверах Signal. Однако исследователь Алек Маффетт (Alec Muffett) обнаружил , что такие сообщения можно просмотреть, даже если они были удалены из приложения.

Как пояснил специалист Патрик Уордл (Patrick Wardle), macOS создает копию (частичную, если речь идет о длинных сообщениях) исчезающих сообщений в базе данных Центра уведомлений системы, откуда они могут быть восстановлены в любой момент. По словам исследователя, при включении уведомлений для приложения Signal в macOS сервис будет отображать уведомления для исчезающих сообщений, в том числе в форме сокращенных сообщений (обычно это первые строчки сообщения).

Подобное поведение представляет несколько рисков потери конфиденциальности. В частности, исчезающие сообщения могут сохраняться в пользовательском интерфейсе Центра уведомлений macOS даже после удаления из мессенджера и отображаться на панели уведомлений, пока пользователь не закроет интерфейс. Кроме того, в БД SQLite Центра уведомлений также сохраняется копия сокращенного сообщения, доступ к которой может получить пользователь с обычными привилегиями или вредоносное приложение.

Для защиты контента сообщений специалисты рекомендуют отключить функцию уведомлений, пока Signal не исправит проблему.

Signal – бесплатное приложение с открытым кодом, доступное для телефонов на базе Android, iOS, а так же для персональных компьютеров. В приложении реализовано сквозное шифрование, что позволяет пользователям Signal отправлять зашифрованные групповые и индивидуальные текстовые сообщения, фотографии и видео-файлы, а также совершать зашифрованные телефонные и видео звонки.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle