Signal ha finalmente deciso di migliorare la sicurezza delle app per Windows e macOS, dopo la scoperta di alcune gravi vulnerabilità da parte dei ricercatori di Mysk (una di esse era già nota dal 2018). La Presidente Meredith Whittaker ha cercato di minimizzare il problema, ma uno sviluppatore ha comunicato che il fix verrà incluso nelle prossime versioni.
La chiave della porta sotto lo zerbino
Quando l’utente installa la versione desktop di Signal viene creato un database SQLite cifrato, in cui sono conservati i messaggi. La chiave crittografica viene generata automaticamente dal software e copiata nelle directory %AppData%\Signal\config.json
su Windows e ~/Library/Application Support/Signal/config.json
su macOS.
L’app usa la chiave per decifrare il database e visualizzare i messaggi. In realtà, qualsiasi software (malware inclusi) possono accedere alla chiave perché viene memorizzata in chiaro. La vulnerabilità, scoperta nel 2018, equivale a mettere la chiave della porta sotto lo zerbino. All’epoca, Signal disse che non è un problema di sicurezza.
Qualche giorno fa, il bug è stato nuovamente evidenziato dai ricercatori di Mysk su X. Con un post successivo hanno sottolineato che Elon Musk aveva ragione. Questa è una delle vulnerabilità note che Signal non ha ancora risolto.
I ricercatori hanno inoltre mostrato che è possibile accedere ai dati semplicemente copiandoli su un altro computer sul quale è installato Signal. I messaggi sono protetti dalla crittografia, ma non lo sono foto, video e documenti.
La Presidente Meredith Whittaker ha dichiarato che nessuna app offre la protezione completa, se un cybercriminale ha già ottenuto l’accesso al dispositivo. Due giorni fa, uno sviluppatore di Signal ha comunicato che in una prossima versione beta verrà aggiunto il supporto alle API safeStorage di Electron per cifrare la chiave crittografica del database.