Sygnał od dawna uważany jest za złoty standard bezpiecznej i prywatnej komunikacji. Jego główne założenia opierają się na kompleksowym szyfrowaniu, które zapewnia, że tylko nadawca i odbiorca mogą przeczytać wiadomość, oraz na funkcji „znikającej wiadomości”, która gwarantuje, że nie pozostawi po sobie żadnego cyfrowego śladu.
Jednak niedawny raport 404 Media ujawnił poważną lukę: FBI było w stanie odczytać wiadomości podejrzanego w Signal nawet po tym, jak użytkownik usunął aplikację ze swojego urządzenia.
Luka: „tylne drzwi” poprzez powiadomienia
Ten hack nie polegał na „złamaniu” samego szyfrowania Signal. Zamiast tego śledczy wykorzystali techniczny efekt uboczny sposobu, w jaki smartfony radzą sobie z alertami.
Gdy otrzymasz wiadomość, Twój telefon powiadomi Cię za pomocą powiadomień push. Aby te powiadomienia były przydatne, system operacyjny często przechowuje podgląd treści wiadomości, aby można było ją wyświetlić na ekranie blokady. W tym konkretnym przypadku FBI udało się wyodrębnić te wiadomości z bazy danych powiadomień push na telefonie iPhone.
To ujawnia kluczową rzeczywistość bezpieczeństwa urządzeń mobilnych: Szyfrowanie chroni dane tylko podczas ich przesyłania lub przechowywania w samej aplikacji. Jeśli system operacyjny Twojego telefonu tworzy podgląd tekstu wiadomości w celu wyświetlenia powiadomienia, podgląd ten staje się oddzielnym, niezaszyfrowanym fragmentem danych przechowywanym w plikach systemowych Twojego telefonu.
Dlaczego jest to ważne dla prywatności
To nie jest tylko problem Signala; Jest to problem systemowy, który dotyczy niemal każdej aplikacji do przesyłania wiadomości korzystającej z powiadomień push. Nawet jeśli aplikacji z matematycznego punktu widzenia „nie da się zhakować”, sposób jej interakcji z systemem operacyjnym smartfona (iOS lub Android) może powodować „wycieki”.
Dla użytkowników dbających o prywatność oznacza to, że funkcja zaprojektowana z myślą o wygodzie – możliwość przeczytania fragmentu tekstu bez odblokowywania telefonu – to ta sama funkcja, której można użyć do ominięcia zabezpieczeń wysokiego poziomu.
Jak zabezpieczyć swoje wiadomości w Signal
Dobra wiadomość jest taka, że tę wadę można łatwo naprawić za pomocą prostych poprawek. Aby zapobiec zapisywaniu treści wiadomości w bazie powiadomień telefonu, wykonaj następujące kroki:
- Otwórz aplikację Sygnał.
- Kliknij swoje zdjęcie profilowe w lewym górnym rogu, aby przejść do Ustawień.
- Wybierz sekcję Powiadomienia.
- Stuknij w Treść powiadomienia.
- Wybierz opcję Brak nazwy i zawartości.
Gdy włączysz to ustawienie, nadal będziesz otrzymywać powiadomienia o nowych wiadomościach, ale powiadomienie nie będzie wskazywało, kto je wysłał ani co dokładnie zostało napisane. Aby przeczytać wiadomość, musisz ręcznie otworzyć aplikację. Ta niewielka zmiana gwarantuje, że nawet jeśli urządzenie zostanie usunięte, wrażliwe treści pozostaną chronione przez szyfrowanie Signal, a nie zapisywane w dzienniku powiadomień.
Wniosek
Chociaż kompleksowe szyfrowanie zapewnia silną ochronę przesyłanych danych, sposób, w jaki mobilne systemy operacyjne obsługują powiadomienia, tworzy znaczące backdoory. Ustawianie powiadomień w celu ukrycia treści jest istotnym krokiem w celu zapewnienia, że Twoje „prywatne” rozmowy pozostaną naprawdę prywatne.
