No início do mês alguns investigadores de segurança alertaram para o facto da app desktop do Signal para macOS manter as mensagens e chaves de encriptação facilmente acessíveis, não fazendo qualquer esforço para as proteger (podia facilmente limitar o acesso às mensagens e guardar a chave de encriptação na zona segura do sistema). Veio a descobrir-se que afinal isso já tinha sido reportado há anos, mas o Signal continuou a tentar desvalorizar a situação, até que finalmente, e aparentemente de forma relutante, disse que iria tratar do assunto.
Mas, o que é certo, é que as semanas vão passando, e as actualizações do Signal continuam a não fazer qualquer referência a este assunto.
Como os investigadores que reacenderam este caso referem, isto não deixa o Signal com boa imagem. Ou o Signal continua sem corrigir este problema de segurança, semanas após ter sido notificado, e não leva a segurança e privacidade dos utilizadores tão a sério como diz; ou então fez esta correcção importante mas está a tentar escondê-la dos utilizadores.Signal for desktop has been updated twice since we reiterated the known security issues related to storing the database encryption key and media attachments in plaintext, and in a location accessible to any process.
— Mysk 🇨🇦🇩🇪 (@mysk_co) July 25, 2024
None of the release notes mention this issue. The privacy chat… pic.twitter.com/qtC8Bv4yMD
Há muitas apps que até podem sofrer do mesmo tipo de erro básico que o Signal sofreu (ou ainda sofre), a questão é que aqui estamos a falar de um serviço que se assume como sendo um serviço que coloca a privacidade dos utilizadores como elemento prioritário e diferenciador. A forma como tem lidado com este caso parece indicar que, na realidade, as coisas são bem diferentes, e poderá começar a fazer com que alguns utilizadores reconsiderem o nível de confiança que têm neste serviço.
Sem comentários:
Enviar um comentário (problemas a comentar?)