A aplicação Signal é considerada como uma alternativa segura e privada a apps como o WhatsApp, para permitir a comunicação entre utilizadores de forma privada e segura. No entanto, a app também tem estado sobre atenção de alguns investigadores de segurança, depois de ter sido descoberta uma potencial falha.
Tal como acontece com várias outras apps do género, o Signal procede com a encriptação de todas as mensagens entre os utilizadores, através do uso de uma chave de segurança que é única para cada contacto. Esta chave permite validar que as mensagens estão a ser encriptadas corretamente entre dois pontos, e validar também os contactos se necessário.
Este código de segurança é uma forma que os utilizadores possuem de verificar se ambos os lados estão a contactar a pessoa certa, sendo que dentro de uma conversa o número deve condizer com ambos os utilizadores e também deve ser único para cada dispositivo e conversa feita na plataforma.
No entanto, quando o utilizadores realiza a configuração da conta sobre um novo dispositivo, ou reinstala a aplicação, este número único deve ser modificado – já que se trata de algo único. Isso é esperado, e permite também que se verifiquem atividades suspeitas com os contactos que podem ter sido de algo não autorizado pela mesma.
No entanto, um grupo de investigadores revelou ter descoberto que a aplicação do Signal não se encontra em todas as situações a realizar o “reset” desta chave, mantendo a mesma até se o dispositivo for modificado. Segundo a investigação dos utilizadores Kelly Kaoudis, John Jackson, Sick Codes, e Robert Willis, a aplicação pode manter o código de segurança mesmo que o dispositivo seja alterado, ou a aplicação reinstalada.
Além disso, os investigadores descobriram que este código pode nem sempre ser modificado em praticamente todas as apps que a Signal possui – seja para dispositivos móveis ou no desktop – o que torna toda a situação consideravelmente mais grave.
Esta situação não ocorre em todos os casos, sendo que na maioria os códigos são efetivamente alterados como era de esperar, e os contactos notificados sobre a existência de uma alteração no código também. Mas os investigadores alegam que isto não é algo que se aplica em toda a situação, o que pode abrir as portas para potenciais ataques.
Desde que a falha foi reportada pelos investigadores à Signal, estes afirmam que a empresa terá lançado uma correção de forma silenciosa que aparenta ter resolvido o problema, no entanto não deixaram qualquer comentário público sobre a existência da falha em primeiro lugar.
No entanto, sobre a documentação de suporte da empresa, é agora referido na página correspondente aos códigos de segurança, que os mesmos podem nem sempre alterar quando determinadas ações são realizadas – como é o caso da mudança de dispositivos ou reinstalação, sendo que a app mantêm o código por tempo indeterminado.
Nenhum comentário
Seja o primeiro!