Podvodníkov a útočníkov je v dnešnej dobe ako húb po daždi. Preto je pre používateľov dôležité správať sa v online priestore obozretne a zodpovedne. Lenže táto čarovaná formulka už dávno neplatí len pre nás používateľov. Podľa nej by sa mali riadiť aj vývojári, čo sa v minulosti, ale aj súčasnosti nie vždy deje.

Zraniteľné šifrovanie

Portál BleepingComputer upozornil na zamotanú kauzu okolo populárnej šifrovanej komunikačnej platforme Signal. Jej vývojári sa totiž až teraz, po nebotyčnej kritike, rozhodli riešiť naozaj chúlostivý problém, ktorý mohol ohroziť desaťtisíce používateľov po celom svete.

Išlo o závažnú bezpečnostnú chybu v desktopovej aplikácii, pričom tento problém je známy už od roku 2018. Táto zraniteľnosť mohla umožniť malvéru prístup k zašifrovaným správam používateľov, čím sa vlastne aplikácia míňa účinku. Načo je takáto šifrovaná platforma, keď ju šikovnejší hacker vie napadnúť?

Problém pramenil zo spôsobu, akým Signal ukladal šifrovacie kľúče pre svoju databázu správ. V systémoch Windows aj MacOS boli kľúče uložené v súboroch obyčajného textového dokumentu na lokálnom počítači používateľa. V prípade operačného systému Windows mal tento súbor názov %AppData%\Signal\config.json, v prípade Macu išlo o ~/Library/Application Support/Signal/config.json.

BleepingComputer

Narastajúca kritika

Bezpečnostní analytici upozorňovali na túto chybu už dlhšie, no postoj Signalu je naozaj hodný zamyslenia. Meredith Whittaker, šéfka Signal Foundation, sa snažila problém bagatelizovať tvrdením, že na zneužitie týchto údajov je potrebný priamy prístup k zariadeniu. Chybu vraj neriešili preto, lebo takúto úroveň zabezpečenia nikdy nedeklarovali.

Lenže kritika narastala. Ozvali sa dokonca až také persóny ako Talal Haj Bakry a Tommy Mysk – bezpečnostní analytici v oblasti mobilného zabezpečenia, klincom do rakvy však bola verejná kritika od Elona Muska na sociálnej sieti X. Po tejto poslednej výzve sa vývojári Signalu konečne začali činiť.

There are known vulnerabilities with Signal that are not being addressed. Seems odd …

— Elon Musk (@elonmusk) May 6, 2024

Konečné riešenie

Nešlo však o verejné uznanie chyby; Signal v podstate len akceptoval návrh nezávislého vývojára Toma Planta, ktorý požiadal spoločnosť o implementáciu opravy pomocou SafeStorage API spoločnosti Electron. Toto riešenie prinesie lepšiu ochranu najmä pre Linux a macOS, pre Windows však nie je až takí optimálne.

Vývojári prisľúbili, že zmena bude zahrnutá v najbližšej beta verzii desktopových aplikácií. Počas prechodného obdobia budú fungovať oba systémy ukladania kľúčov súbežne. Po úplnom prechode na nové API bude pôvodný nechránený súbor odstránený, čím sa významne zvýši bezpečnosť používateľských dát.