O Signal é conhecido por levar a questão da segurança e privacidade a sério, utilizando encriptação total e não mantendo registos das mensagens. No entanto, e como é habitual, os atacantes procuram sempre o elo mais fraco, e neste caso o ataque foi feito via Twilio, a empresa que fornece o serviço de envio de SMS do Signal.
O atacante terá conseguido determinar os números de telefone de 1900 utilizadores, e terá focado o seu interesse em 3 números em particular, tendo tentado fazer um novo registo de um desses utilizadores num novo dispositivo. Mas uma vez que não guarda as mensagens, o atacante não teria conseguido ver qualquer informação - e o Signal já bloqueou o serviço dos utilizadores afectados, pedindo que registem os seus equipamentos novamente, e que considerem activar o "registration lock" que evita precisamente este tipo de ataque.
Talvez seja desta que o Signal abandone os SMS, que há muito que são desaconselhados para qualquer tipo de verificação de segurança, e este caso ilustra perfeitamente porquê.
Enquanto utilizarem o número de telefone, terão de o verificar de alguma maneira.
ResponderEliminarO erro foi não terem feito como outras redes e utilizar um nome de utilizador interno da rede. E poderia, opcionalmente, permitir associar e-mail e/ ou telefone (ambos verificados), para facilitar encontrar outras pessoas na rede.