پیامرسان سیگنال سرانجام با تغییر نحوه ذخیره کلیدهای رمزنگاری متون برای ذخیره داده پس از کم اهمیت جلوه دادن مشکل از سال ۲۰۱۸، امنیت کاربران نسخه دسکتاپ خود را تقویت میکند.
براساس گزارشهای منتشر شده در سال ۲۰۱۸، نرمافزار سیگنال پس از نصب روی سیستمعامل مک یا ویندوز یک پایگاه داده رمزگذاری شده SQLite برای ذخیرهسازی پیامهای کاربر ایجاد میکند. این پایگاه داده با استفاده از یک کلید ایجاد شده توسط برنامه، رمزگذاری میشود و کاربر در انتخاب این رمز دخالتی ندارد.
برای اینکه یک برنامه بتواند یک پایگاه داده رمزگذاری شده را رمزگشایی کند و از آن برای ذخیره دادهها استفاده کند، باید به کلید رمزگذاری دسترسی داشته باشد. برنامه سیگنال این کلید را بهصورت یک متن ساده در یک فایل محلی به نام «AppData\Signal\config.json» در ویندوز و «Library/Application Support/Signal/config.json» در مک ذخیره میکند.
پس میتوان نتیجه گرفت که اگر برنامه سیگنال میتواند به این کلید دسترسی پیدا کند، هر کاربر در حال استفاده از برنامه یا برنامه در حال اجرای دیگری نیز از این قابلیت برخوردار خواهد بود. در نهایت همین امر باعث بیارزش شدن امنیت پایگاه داده خواهد شد.
یکی از راه حلهای ارائه شده توسط محققان امنیتی این بود که رمزگذاری پایگاه داده محلی با یک رمز عبور ارائه شده توسط کاربر محافظت شود که هرگز در جایی ذخیره نمیشود.
با این حال، تیم پشتیبانی سیگنال در پاسخ به نگرانیهای کاربران پیشتر اظهار کرده بود که پیامرسان سیگنال هیچگاه ادعایی مبنیبر محافظت از پایگاه داده نداشته و تلاشی در این زمینه نکرده است.
در واقع میتوان گفت که رمزگذاری پایگاه داده محلی بدون رمز عبور تعیین شده توسط کاربر مشکلی متعلق به همه برنامههاست و محافظت از این پایگاه داده مستلزم انجام اقدامات امنیتی بیشتر خواهد بود.
با وجود انتشار اسناد گوناگون توسط محققان امنیتی از سالهای گذشته تاکنون، مدیر پیامرسان سیگنال همچنان به نادیده گرفتن این نقص ادامه داد. این موضوع تا زمانی ادامه داشت که یک توسعهدهنده مستقل در ماه آوریل سال جاری با ادغام برخی کدها، موفق شد دادههای ذخیره شده پیامرسان سیگنال را در برابر حملات آفلاین امنسازی کند.
توضیحات بیشتر:
- Signal downplays encryption key flaw, fixes it after X drama