Signál byl dlouho považován za zlatý standard pro bezpečnou a soukromou komunikaci. Jeho hlavní příslib je postaven na šifrování typu end-to-end, které zajišťuje, že zprávu může číst pouze odesílatel a příjemce, a na jeho funkci „zmizení zprávy“, která zajišťuje, že po něm nezůstane žádná digitální stopa.
Nedávná zpráva od 404 Media však odhalila závažnou zranitelnost: FBI byla schopna číst zprávy podezřelých na Signal i poté, co uživatel smazal aplikaci ze svého zařízení.
Zranitelnost: „zadní vrátka“ prostřednictvím oznámení
Tento hack nezahrnoval „prolomení“ samotného šifrování Signalu. Místo toho vyšetřovatelé využili technického vedlejšího efektu toho, jak chytré telefony zpracovávají výstrahy.
Když obdržíte zprávu, váš telefon vás upozorní pomocí upozornění push. Aby byla tato upozornění užitečná, operační systém často ukládá náhled obsahu zprávy, aby se dal zobrazit na zamykací obrazovce. V tomto konkrétním případě se FBI podařilo extrahovat tyto zprávy z databáze push notifikací pro iPhone.
To odhaluje kritickou realitu mobilního zabezpečení: Šifrování chrání data pouze během přenosu nebo uložených v samotné aplikaci. Pokud operační systém vašeho telefonu vytvoří textový náhled zprávy, aby se zobrazilo upozornění, tento náhled se stane samostatným, nezašifrovaným kusem dat uloženým v systémových souborech vašeho telefonu.
Proč je to důležité pro soukromí
Toto není jen problém se signálem; Toto je systémový problém, který se týká téměř každé aplikace pro zasílání zpráv, která používá oznámení push. I když je aplikace matematicky „nehacknutelná“, způsob, jakým interaguje s operačním systémem smartphonu (iOS nebo Android), může způsobit „úniky“.
Pro uživatele, kteří dbají na ochranu soukromí, to znamená, že samotná funkce navržená pro pohodlí – možnost přečíst text bez odemknutí telefonu – je stejná funkce, kterou lze použít k obejití vysoké úrovně zabezpečení.
Jak zabezpečit své zprávy na Signálu
Dobrou zprávou je, že tento nedostatek lze snadno opravit jednoduchým vylepšením. Chcete-li zabránit ukládání obsahu vašich zpráv do databáze oznámení vašeho telefonu, postupujte takto:
- Otevřete aplikaci Signál.
- Kliknutím na svou profilovou fotku v levém horním rohu přejděte do Nastavení.
- Vyberte sekci Oznámení.
- Klepněte na Obsah oznámení.
- Vyberte možnost No Name & Contents.
Když toto nastavení povolíte, budete stále dostávat upozornění na nové zprávy, ale v upozornění nebude uvedeno, kdo je poslal nebo co přesně bylo napsáno. Chcete-li si zprávu přečíst, budete muset aplikaci otevřít ručně. Tato malá změna zajišťuje, že i když je zařízení odstraněno, citlivý obsah zůstane chráněn šifrováním Signal, místo aby seděl v protokolu oznámení.
Závěr
Zatímco šifrování typu end-to-end poskytuje silnou ochranu přenášených dat, způsob, jakým mobilní operační systémy zpracovávají oznámení, vytváří významná zadní vrátka. Nastavení upozornění na skrytí obsahu je zásadním krokem k zajištění toho, aby vaše „soukromé“ konverzace zůstaly skutečně soukromé.
