W poprzedni weekend zaczęły krążyć pogłoski o dniu zerowym w Signalu. Plotki były podsycane informacją, która wyglądała jak ostrzeżenie, że funkcja „generuj podgląd łącza” może zostać wykorzystana do przejęcia pełnej kontroli nad urządzeniami.
Signal to znana platforma zajmująca się przesyłaniem wiadomości. Prywatność to ich główny wyróżnik, dlatego na pocztę pantoflową z „ostrzeżeniami” zareagowała stanowczo:
„Widzieliśmy niejasne raporty wskazujące na lukę w zabezpieczeniach Signal 0-day. Po odpowiedzialnym dochodzeniu stwierdzamy, że nie mamy dowodów sugerujących, że ta luka jest realna” – oznajmił Signal późnym niedzielnym wieczorem.
„Aby zamknąć lukę, poproś wszystkich o przejście do ustawień w Twoim profilu w signal>czaty>odznacz opcję »generuj podgląd linku«. Upewnij się także, że Twoja aplikacja jest aktualna” – czytamy w tajemniczej notatce.
Pierwotne źródło ostrzeżenia o dniu zerowym jest nieznane, ale Signal stwierdził, że użył swoich kontaktów nawet w rządzie USA. To jak najbardziej właściwe, ponieważ w raporcie dotyczącym zero-daya jako źródło podano USG (United States Government – Rząd Stanów Zjednoczonych).
„Osoby, z którymi rozmawialiśmy, nie mają żadnych informacji sugerujących, że jest to uzasadnione twierdzenie” – podał Signal w serwisie X, znanym wcześniej jako Twitter.
Wiadomo, że funkcja „generuj podgląd linku” stwarza ryzyko dla prywatności i bezpieczeństwa i że doprowadziła do problemów z lukami w zabezpieczeniach o krytycznym znaczeniu na platformie WhatsApp (należącym do firmy Meta).
Ta funkcja, domyślnie włączona w niektórych instalacjach Signal, wyświetla krótkie podsumowanie i obraz podglądu wysyłanego adresu URL, ale eksperci od dawna ostrzegają, że zapewnia powierzchnię do ataku, na przykład poprzez wyciek adresów IP, ujawnienie łączy wysłanych w całkowicie zaszyfrowanych czatach i niepotrzebne pobieranie gigabajtów danych po cichu w tle.
Co ciekawe, opcjonalny tryb LockDown firmy Apple wyłącza funkcję podglądu łącza iMessage – to w odpowiedzi na złośliwe ataki ze strony dostawców oprogramowania szpiegującego. O zabezpieczeniach w tym kontekście pisaliśmy tutaj.
Inne ciekawe zdarzenie związane z cyberbezpieczeństwem Signala miało miejsce w lipcu 2022 roku. Wtedy to firma ujawniła skutki, jakie przyniosło włamanie do Twilio. W jego wyniku cyberprzestępcy próbowali ponownie zarejestrować numery telefonów niektórych użytkowników platformy na nowych urządzeniach.
Twilio – dostawca oprogramowania dla przedsiębiorstw, padło ofiarą cyberataku. Hakerzy oszukali jednego z pracowników, tak że ujawnił swoje dane logowania.
Przestępcy uzbrojeni w dane uwierzytelniające pracownika uzyskali dostęp do wewnętrznych systemów zawierających dane klientów. Ogólnie rzecz biorąc, incydent miał wpływ na dane 125 klientów Twilio.
Signal, który zlecił Twilio świadczenie usług weryfikacji numerów telefonów, był jednym z klientów dotkniętych tym problemem.
W zawiadomieniu z 15 sierpnia firma zajmująca się bezpiecznym przesyłaniem wiadomości ogłosiła, że po uzyskaniu dostępu do konsoli obsługi klienta Twilio napastnicy próbowali ponownie zarejestrować numery telefonów niektórych użytkowników Signal na nowych urządzeniach lub uzyskali dostęp do ich kodu weryfikacyjnego SMS Signal.
„W okresie, w którym osoba atakująca miała dostęp do systemów obsługi klienta Twilio, mogła podjąć próbę zarejestrowania numerów telefonów, do których uzyskała dostęp, na innym urządzeniu przy użyciu kodu weryfikacyjnego SMS. Osoba atakująca nie ma już takiego dostępu, a atak został zatrzymany przez Twilio” – oznajmił wtedy Signal.
Incydent ten dotknął około 1900 użytkowników Signala, ale osoby atakujące nie miały dostępu do listy kontaktów użytkowników, historii wiadomości, informacji profilowych, listy zablokowanych numerów ani innych danych osobowych.
„Historia wiadomości jest przechowywana tylko na urządzeniu i Signal nie przechowuje jej kopii. Twoje listy kontaktów, informacje profilowe, informacje o zablokowanych osobach i inne informacje można odzyskać jedynie za pomocą kodu PIN Signal, do którego nie uzyskano (i nie można było) uzyskać dostępu w związku z tym incydentem” – podkreślał Signal.
Firma zwróciła również uwagę, że napastnicy byli w stanie wysyłać i odbierać wiadomości Signal w imieniu zaatakowanych użytkowników po zarejestrowaniu ich kont na nowych urządzeniach. Signal twierdzi, że napastnicy szukali konkretnie trzech numerów z łącznej liczby 1900 i że co najmniej jeden ponownie zarejestrowali.
Signal zachęcał wówczas użytkowników do włączenia „blokady rejestracji” na swoich kontach – funkcji, która zapewnia dodatkową warstwę ochrony konta, zapobiegając tego rodzaju atakom telekomunikacyjnym.
I tu wracamy do pytania z tytułu. Czy Signal jest bezpieczny? Na pewno podlega tym samym prawom, co inne aplikacje – wszystkie są podatne na luki w oprogramowaniu i zero-daye, a także na ataki oparte na stronie trzeciej. Mimo przemyślanej architektury dającej użytkownikom sporą dozę prywatności, nikt nie zapewni im stuprocentowego bezpieczeństwa.