Aa Aa Aa

У Signal снова проблемы с самоуничтожающимися сообщениями: они исчезают далеко не всегда

У Signal снова проблемы с самоуничтожающимися сообщениями: они исчезают далеко не всегда

Журналисты Vice Motherboard обнаружили проблему с самоуничтожающимися сообщениями в мессенджере Signal. Оказалось, что из-за появившегося недавно бага послания пропадали далеко не всегда.

Дело в том, что в последнее время многие журналисты прислушались к рекомендациям ИБ-экспертов, которые не раз рекомендовали мессенджер Singnal в качестве альтернативного защищенного канала связи. В частности, издания и их источники нередко прибегают к функции самоуничтожающихся сообщений, которая уничтожает лог чата по прошествии некоторого времени. Однако журналисты Motherboard заметили, что в последнее время эта функция вела себя совсем не так, как должна была.

Издание сообщает, анализ логов нескольких самоуничтожающихся переписок выявил, что приложение зачастую удаляет лишь одну сторону беседы, тогда как другая останется доступной даже после истечения дэдлайна. К примеру, в одном из рассмотренных случаев сообщение, полученное 22 мая 2018 года, должно было быть автоматически удалено через неделю, однако оставалось на месте на протяжении двух с половиной недель. В другом примере сообщения, так же отправленные 22 мая, исчезли только наполовину: приложение очистило лишь одну строну диалога, стерев только ответы реципиента. При этом на смартфоне самого реципиента наблюдалась аналогичная ситуация, но для него сохранились только его собственные сообщения.

Журналисты отмечают, что в случае таких сбоев, «просроченные» самоуничтожающиеся послания отмечены как «отправленные», но не как «прочитанные», хотя их, разумеется, читали и даже отвечали.

6787666654.jpg (24 KB)

В итоге издание связалось с основателем некоммерческой организации Open Whisper Systems, разрабатывающей Signal, Мокси Марлинспайком (Moxie Marlinspike). Он подтвердил существование вышеописанной проблемы, но заверил, что баг появился лишь недавно, затронув ограниченное число пользователей и самоуничтожающихся сообщений.

По словам Марлинспайка, проблема существовала лишь короткое время — до релиза Signal для iOS (22 мая 2018 года) и не проявлялась после. То есть все самоуничтожающиеся сообщения, отправленные после указанной даты, должны удаляться как положено, а «просроченные» из-за сбоя послания пользователи могут удалить вручную. Впрочем, разработчик пообещал, что будущее обновление Signal очистит забагованные диалоги автоматически.

Напомню, что в прошлом месяце ИБ-специалист Алек Маффлетт (Alec Muffett) обнаружил похожую проблему в дектопном клиенте Singal для Mac. Оказалось, что копии самоуничтожающихся сообщений (или частей сообщений, если те были длинными) сохраняются в БД операционной системы, а именно Центра уведомлений (Notification Center), откуда могут быть прочитаны даже после удаления в самом Signal.

Хотя две проблемы не были связаны между собой, журналисты Motherboard напоминают, что Singal все-таки не стоит считать по-настоящему защищенным каналом связи и полагаться на функцию самоуничтожения сообщений в серьезных вопросах.

Источник: xakep.ru