A aplicação Signal é uma alternativa bastante usada para quem pretenda comunicar de forma segura, mas uma entidade refere agora ter conseguido quebrar a segurança da aplicação – o que poderá ser bastante grave para quem use a mesma para conversação.
De acordo com uma publicação da empresa de segurança Cellebrite, esta terá conseguido quebrar a encriptação usada pelo Signal nos conteúdos, o que teoricamente pode permitir a qualquer pessoa aceder aos conteúdos e mensagens que são partilhadas pelo serviço.
A empresa descreve na sua publicação os detalhes feitos para desencriptar os conteúdos das mensagens sobre a aplicação Signal para Android, sendo que não existe clarificação se o método também irá funcionar sobre a aplicação para iOS.
Esta publicação demonstra um processo bastante técnico e complicado para esta tarefa, mas em resumo a empresa afirma que é possível obter a chave de desencriptação dos conteúdos através do ficheiro de preferências da app, armazenado na raiz dos dispositivos Android – e este pode ser um dos motivos pelo qual o mesmo método não está descrito no iOS, visto usar um formato diferente para armazenar estes conteúdos que não são de fácil acesso.
Desde que a publicação foi feita pela empresa de segurança, no entanto, esta foi bastante editada com diversas modificações e processos removidos por completo, sendo que a própria Signal já indicou que a mesma não possui fundamento concreto.
Moxie Marlinspike, criador da aplicação Signal, refere que a empresa de segurança realizou a análise dos conteúdos num dispositivo que estava, por si só, comprometido. A análise dos conteúdos foi feita num dispositivo que estaria com o root aplicado, o que permite o acesso completo a todos os ficheiros de raiz do sistema. Marlinspike refere que os investigadores poderiam simplesmente aceder à base de dados das mensagens com este caso, visto que não é algo que se aplique normalmente na maioria dos dispositivos Android.
A Signal afirma que realizar a investigação num dispositivo com root aplicado demonstra uma tentativa básica para tentar ganhar alguma popularidade, sendo que as mensagens estariam acessíveis de qualquer forma. Realizar o mesmo processo num dispositivo bloqueado – sem root – seria algo efetivamente preocupante, mas que não se aplica neste caso.
Nenhum comentário
Seja o primeiro!