Signal давно вважається золотим стандартом безпечного та конфіденційного зв’язку. Його основна обіцянка будується на наскрізному шифруванні (end-to-end encryption), яке гарантує, що прочитати повідомлення можуть лише відправник і одержувач, а функція «зникаючих повідомлень» дозволяє не залишати цифрових слідів.
Проте нещодавній звіт видання 404 Media виявив серйозну вразливість: ФБР вдалося прочитати повідомлення підозрюваного Signal навіть після того, як користувач видалив додаток зі свого пристрою.
Вразливість: «чорний хід» через повідомлення
Цей злом не мав на увазі “злом” самого шифрування Signal. Натомість слідчі скористалися технічним побічним ефектом того, як смартфони обробляють оповіщення.
Коли ви отримуєте повідомлення, ваш телефон використовує push-повідомлення, щоб сповістити вас. Щоб ці повідомлення були корисними, операційна система часто зберігає перегляд вмісту повідомлення, щоб його можна було відобразити на екрані блокування. У даному конкретному випадку ФБР вдалося витягти ці повідомлення з бази даних push-повідомлень iPhone.
Це розкриває критичну реальність мобільної безпеки: шифрування захищає дані тільки тоді, коли вони знаходяться в процесі передачі або зберігаються всередині програми. Якщо операційна система телефону створює текстовий перегляд повідомлення для показу повідомлення, цей перегляд стає окремим незашифрованим фрагментом даних, що зберігається в системних файлах вашого телефону.
Чому це важливо для конфіденційності
Це не проблема тільки Signal; це системна проблема, що зачіпає майже будь-який месенджер-додаток, що використовує push-сповіщення. Навіть якщо програма математично «невразлива для злому», спосіб його взаємодії з операційною системою смартфона (iOS або Android) може створювати «відплив».
Для користувачів, які дбають про приватність, це означає, що та сама функція, створена для зручності — можливість прочитати фрагмент тексту, не розблоковуючи телефон, є тією ж функцією, яка може бути використана для обходу високорівневого захисту.
Як убезпечити свої повідомлення в Signal
Хороша новина полягає в тому, що цей пролом легко усунути за допомогою простого налаштування. Щоб зберегти вміст повідомлень у базі даних сповіщень телефону, виконайте такі дії:
- Відкрийте програму Signal.
- Натисніть своє фото профілю у верхньому лівому кутку, щоб перейти в Налаштування.
- Виберіть розділ Сповіщення.
- Натисніть Вміст сповіщень.
- Виберіть «Без імені та вмісту».
При включенні цієї настройки ви все одно отримуватимете оповіщення про нові повідомлення, але в повідомленні не буде вказано, хто їх надіслав і що саме написано. Щоб прочитати повідомлення, вам потрібно буде вручну відкрити програму. Ця невелика зміна гарантує, що навіть якщо пристрій вилучено, конфіденційний контент залишиться захищеним шифруванням Signal, а не лежатиме в журналі повідомлень.
Висновок
Хоча наскрізне шифрування забезпечує надійний захист даних, що передаються, то, як мобільні операційні системи обробляють повідомлення, створює значну лазівку. Налаштування повідомлень для приховування вмісту — це життєво важливий крок для того, щоб ваші «приватні» розмови залишалися справді приватними.
