Meddelandeappen Signal har hamnat i blåsväder. Allt började när Swift-utvecklaren Pedro José Pereira Vieito avslöjade att ChatGPT-appen för Mac OS sparade konversationerna i klartext på användarens dator. Om användarens dator blev infekterad med ett spionprogram fanns det inget som hindrade spionprogrammet från att läsa historiska ChatGPT-konversationer (se Vieitos demonstrationsfilm på Threads).
Den fjärde juli uppmärksammade säkerhetsduon Mysk att Signals Mac OS-app drogs med ett snarlikt problem. Signal krypterar visserligen de lokalt lagrade meddelandena men appen gör det till ingen nytta. Signal sparar nämligen krypteringsnyckeln i klartext intill den krypterade databasen. Bilagor såsom bilder och ljudklipp sparas tillika okrypterade. Precis som med ChatGPT-appen innebär det att ett spionprogram kan stjäla all information.
The encrypted database and encryption key are stored next to each other. The folder is accessible to any app running on the Mac. How could such a blunder be approved by an open-source project reviewed by many experts?
– Mysk på Mastodon (2024-07-07)
Mysk upptäckte därutöver att åtkomst till den dåligt skyddade datan var allt som krävdes för att klona en befintlig Signal-installation. Mysk klonade datan från sin dator till en virtuell maskin och började direkt ta emot meddelanden i den klonade Signal-installationen. Vissa meddelanden anlände till ursprungsdatorn medan andra meddelanden kom till den virtuella maskinen. Detta tyder på att Signals infrastruktur såg ursprungsinstallationen och dess klon som samma Signal-installation.
Messages were either delivered to the Mac or to the VM. The iPhone received all messages. All of the three sessions were live and valid.
– Mysk på Mastodon (2024-07-05)
Värst av allt var att den klonade installationen aldrig dök upp i översikten över länkade enheter.
Signal didn’t warn me of the existence of the third session [that I cloned]. Moreover, Signal on the iPhone still shows one linked device. This is particularly dangerous because any malicious script can do the same to seize a session.
– Mysk på Mastodon (2024-07-05)
Ingen bakdörr men dålig design
Mysk slog på stora trumman och uppmanade sina följare på Mastodon och X att inte installera Mac OS-appen. Säkerhetsduon skrev att appen inte var säker. Runt omkring på sociala medier förstorades bristerna och började kallas allt från ”sårbarheter” till ”bakdörrar”.
De uppmärksammade bristerna är varken sårbarheter eller bakdörrar. För att bristerna ska kunna utnyttjas måste datorn vara infekterad, det vill säga datorn måste köra ett spionprogram. Om ena konversationspartens dator är infekterad är det, oavsett app, omöjligt att garantera konfidentialiteten och riktigheten på meddelandena som överförs.
Med det sagt är Signals Mac OS-app ändå ett exempel på säkerhetsmässigt dålig design. Mac OS erbjuder flera säkerhetsstärkande funktioner som Signal-apputvecklarna (medvetet) har struntat i, däribland möjligheten att spara krypteringsnyckeln i Nyckelringen i stället för i klartext bland användarfilerna.
En Mac OS-app kommer aldrig att bli lika säker som en IOS-app men utvecklarna av en så säkerhetskritisk app som Signal borde ändå dra nytta av alla säkerhetshöjande åtgärder som operativsystemet erbjuder.
Bristerna och förbättringsmöjligheterna har till råga på allt varit kända i flera år. När bristerna påpekades 2018 svarade en Signal-representant att Signal Desktop varken strävade efter att erbjuda eller någonsin påståtts erbjuda kryptering av den lokalt lagrade datan (se inlägg i Signals forum).
Det är ännu oklart varför Signal-utvecklarna prioriterade funktioner såsom stories över att uppdatera skrivbordsappen till att följa best practise. Lyckligtvis gav kritikstormen resultat och Signal-utvecklarna har gett sig i kast med att åtgärda de påpekade bristerna (se Protect database encryption key with Electron safeStorage API). Signals VD, Meredith Whittaker, har också bemött kritiken i ett inlägg på Mastodon.
Rekommendationer
Det råder inga tvivel om att Signals mobilapp är säkrare än dess skrivbordsapp för Mac OS, Windows och Linux. Grävande journalister, frihetskämpar, regimkritiker och andra utsatta grupper bör därför, beroende på hotbild, överväga att undvika skrivbordsappen tills bristerna är åtgärdade. Om nämnda grupper använder skrivbordsappen och blir infekterade kan deras meddelanden hamna i fel händer (även om en användare som fått sin dator infekterad sannolikt har större problem på halsen).
Tl;dr, Signal is not compromised. If someone can access your filesystem, you have bigger problems to worry about.
– Jurre van Bergen (Amnesty International Tech) på X (2024-07-06)
Som vanligt måste också alternativen vägas in. Undvikandet av skrivbordsappen får inte leda till att användarna byter till mindre säkra chattappar som inte ens totalsträckskrypterar konversationerna. Sådana appar riskerar både att läcka data när den överförs och läcka data ifall någon av konversationsparterna får sin dator infekterad. Det sistnämnda kan som ovannämnt ingen app skydda helt mot.
En lärdom som alla ändå bör ta med sig är att alltid koppla bort en länkad dator om det upptäcks skadeprogram på den. Det förhindrar att eventuella spioner kan fortsätta utnyttja klonade installationer.
Du som användare kan se och ändra dina länkade enheter genom att öppna mobilappen, klicka på din profilbild och välja Länkade enheter. Skulle ditt antivirusprogram upptäcka ett spionprogram på din dator bör du plocka bort datorn från listan över länkade Signal-enheter och inte lägga tillbaka datorn förrän den har rensats från skadeprogram.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.