Signal давно считается золотым стандартом безопасной и конфиденциальной связи. Его основное обещание строится на сквозном шифровании (end-to-end encryption), которое гарантирует, что прочитать сообщение могут только отправитель и получатель, а функция «исчезающих сообщений» позволяет не оставлять цифровых следов.
Однако недавний отчет издания 404 Media выявил серьезную уязвимость: ФБР удалось прочитать сообщения подозреваемого в Signal даже после того, как пользователь удалил приложение со своего устройства.
Уязвимость: «черный ход» через уведомления
Этот взлом не подразумевал «взлом» самого шифрования Signal. Вместо этого следователи воспользовались техническим побочным эффектом того, как смартфоны обрабатывают оповещения.
Когда вы получаете сообщение, ваш телефон использует push-уведомления, чтобы оповестить вас. Чтобы эти уведомления были полезными, операционная система часто сохраняет предпросмотр содержимого сообщения, чтобы его можно было отобразить на экране блокировки. В данном конкретном случае ФБР удалось извлечь эти сообщения из базы данных push-уведомлений iPhone.
Это раскрывает критическую реальность мобильной безопасности: шифрование защищает данные только тогда, когда они находятся в процессе передачи или хранятся внутри самого приложения. Если операционная система телефона создает текстовый предпросмотр сообщения для показа уведомления, этот предпросмотр становится отдельным незашифрованным фрагментом данных, хранящимся в системных файлах вашего телефона.
Почему это важно для конфиденциальности
Это не проблема только Signal; это системная проблема, затрагивающая почти любое мессенджер-приложение, использующее push-уведомления. Даже если приложение математически «неуязвимо для взлома», способ его взаимодействия с операционной системой смартфона (iOS или Android) может создавать «утечки».
Для пользователей, заботящихся о приватности, это означает, что та самая функция, созданная для удобства — возможность прочитать фрагмент текста, не разблокируя телефон, — является той же самой функцией, которая может быть использована для обхода высокоуровневой защиты.
Как обезопасить свои сообщения в Signal
Хорошая новость заключается в том, что эту брешь легко устранить с помощью простой настройки. Чтобы содержимое ваших сообщений не сохранялось в базе данных уведомлений телефона, выполните следующие действия:
- Откройте приложение Signal.
- Нажмите на свое фото профиля в верхнем левом углу, чтобы перейти в Настройки.
- Выберите раздел Уведомления.
- Нажмите на Содержимое уведомлений.
- Выберите вариант «Без имени и содержимого».
При включении этой настройки вы все равно будете получать оповещения о новых сообщениях, но в уведомлении не будет указано, кто их отправил и что именно написано. Чтобы прочитать сообщение, вам нужно будет вручную открыть приложение. Это небольшое изменение гарантирует, что даже если устройство будет изъято, конфиденциальный контент останется защищенным шифрованием Signal, а не будет лежать в журнале уведомлений.
Заключение
Хотя сквозное шифрование обеспечивает надежную защиту передаваемых данных, то, как мобильные операционные системы обрабатывают уведомления, создает значительную лазейку. Настройка уведомлений для скрытия содержимого — это жизненно важный шаг для того, чтобы ваши «приватные» разговоры оставались действительно приватными.
