Signal para macOS permitia roubo de mensagens

O Signal, serviço tradicionalmente associado à segurança e privacidade, deixava os utilizadores da app macOS completamente expostos a roubo de mensagens e da chave de encriptação.

O Signal é um dos serviços de referência a nível de comunicações seguras, tendo sido um dos primeiros a promover as vantagens da encriptação end-to-end (E2E) como forma de proteger os utilizadores. Apesar disso, nos últimos dias teve uma postura bastante infeliz face a uma vulnerabilidade que, na verdade, já era conhecida há anos.

Nos últimos dias foi revelado que, com a app Signal para macOS, qualquer pessoa ou processo malicioso podia simplesmente copiar toda a pasta da app para outro computador e, dessa forma, ficar automaticamente com acesso a todas as mensagens da potencial vítima, incluindo receber as novas mensagens que lhe eram enviadas, e até à chave de encriptação. Isto tornava-se ainda mais difícil de perceber uma vez que o macOS permite que as apps tenham a sua secção de armazenamento isolada, de modo a que não seja acessível a outros processos (sem autorização), e também uma zona segura para guardar coisas como as chaves de encriptação.

🚨@signalapp on its website presents both mobile and desktop versions to be equally secure. As we showed, the desktop versions are vulnerable to data exfiltration and session hijacking.

This is consistent with early reports from 2018 and results from developers who successfully… https://t.co/AU8MXnItdJ

— Mysk 🇨🇦🇩🇪 (@mysk_co) July 7, 2024

Depressa se descobriu que o Signal não considerava isto uma vulnerabilidade, sendo uma falha que até já tinha sido reportada em 2018. Mas apesar das tentativas de minimizar a questão, dizendo que quando um processo malicioso tem acesso ao sistema, já existem muitos outros vectores de risco, a verdade é que não ficava nada bem para um serviço que promove a segurança e privacidade, não seguir as regras básicas de segurança para dificultar a vida a potenciais atacantes. Também não ficou bem visto que fossem apagados vários posts a falar deste assunto no Reddit. Mas por fim, passados vários dias e com a situação a ganhar visibilidade, o Signal lá cedeu e disse que iria corrigir esta situação.

It seems it's not allowed to criticize Signal on Reddit. This is the second post that gets removed by the moderators. Users in the comments make wrong claims that physical access is required, others claim that full disk access is required. This is wrong.

If you really have the… pic.twitter.com/YXYCp5EwoZ

— Mysk 🇨🇦🇩🇪 (@mysk_co) July 8, 2024

The security bug about storing the encryption key in plain text wasn't considered a bug by Signal in 2018, wasn't considered a bug by Signal's president today, and even demanded responsible disclosure for it. Well, that not bug thing is getting a fix now:https://t.co/WQKF0kMOOB

— Mysk 🇨🇦🇩🇪 (@mysk_co) July 9, 2024

An open-source project should embrace an open mindset. Signal has positioned itself as the "secure" communication tool for users in troubled parts of the world. A fix should be pushed forward to make the app more secure for its users, not because a call for the fix "is getting… pic.twitter.com/1R5yGdOpQv

— Mysk 🇨🇦🇩🇪 (@mysk_co) July 10, 2024

É difícil compreender esta posição por parte dos responsáveis do Signal, que parecem ter feito esta correcção contrariados e apenas para tentar silenciar o assunto. Embora seja certo que as apps mobile não sofrem deste mal, a postura perante este incidente poderá ser suficiente para abalar a confiança que os utilizadores têm no serviço. Afinal, se só se preocuparem em corrigir falhas básicas se estas gerarem suficiente polémica pública que os obrigue a isso, o que pode imaginar que se passe com outros casos que tenham conseguido silenciar (não esquecendo que esta falha já tinha sido reportada em 2018, sem que houvesse qualquer acção).


Actualização: A atitude da Signal face a este incidente foi tão má, que os investigadores dizem que cortaram completamente as relações, não investigando ou reportando quaisquer bugs referentes ao Signal.

Our recent encounter with Signal has revealed a new face of Signal as a project and team; one of exclusion, dismissal, and denial. We can no longer recommend Signal as a secure chat app.
And we will no longer review, report, or disclose any security bugs related to Signal.

— Mysk 🇨🇦🇩🇪 (@mysk_co) July 11, 2024

Actualização 2: Apesar de dizer que ia corrigir o assunto, as semanas vão passando e o Signal continua sem fazer qualquer referência a isso.