Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Signal — это мессенджер для обмена зашифрованными сообщениями, конфиденциальная альтернатива WhatsApp/Telegram...
Слоган ПО:
Общайтесь по-новому! Всё, что вы ждали от мессенджера, с акцентом на приватность.
В мессенджере Signal имеется функция "Исчезающие сообщения" далее "ИС". Эта security-функция аналогична функции: "автоудаление сообщений в Tg" (в обоих мессенджерах конфиденциальность пользователей "была" нарушена данной функциональностью).
О багах
Информация с оф.сайта:
Если вы нашли уязвимость в Signal, пожалуйста, сообщите о ней по адресу security@signal.org.
Пожалуйста, используйте этот адрес только для сообщений о проблемах безопасности в приложении Signal. У Signal нет программы bug bounty, но мы исследуем проблемы безопасности.
И рядом на том же сайте:
мы неплохо финансируется и в поисках толковых разработчиков.
Почему я опубликовал информацию в СМИ, а не разработчикам по электропочте или в репозиторий Signal.
У приватного мессенджера Signal имеются довольно много багов, в т.ч. и проблемы с конфиденциальностью. И иногда сами шифропанки-представители своего ПО скандалят друг с другом как можно громче.
Ранее я случайно находил и репортил проблемы мессенджера Signal им на Github. Например, последняя опубликованная мной проблема после которой я сдался как-либо улучшить кривоватый во всех смыслах мессенджер — это была проблема с интерфейсом приложения на Android устройствах: скачанные картинки/файлы непросто было найти на своём гаджете (само приложение сбивало пользователя с толку). Но Signal это Open source с высоким звёздным рейтингом на Github-е, поэтому проблему заботливо подхватил и внёс исправление один из пользователей мессенджера. Но разработчики Signal не удосужились принять исправление/PR и даже никак не отметились, а спустя месяцы нерешенную Issues закрыл автобот.
Суть бага нарушающего конфиденциальность пользователей
Описание функции "ИС":
"Используйте "ИС", чтобы поддерживать историю сообщений в порядке. Сообщения будут исчезать с устройства после указанного периода. Но помните, что если получатель исчезающего сообщения хочет его записать, он может сделать снимок экрана до того, как сообщение исчезнет.
* Исчезающими сообщениями может управлять любой участник чата.
* Эта настройка будет применяться ко всем новым сообщениям после установки или изменения таймера.
Что происходит, когда таймер исчезающего сообщения истекает? Сообщение удаляется с диска.
С диска, но не с серверов Signal (здесь и кроется подвох для массового пользователя)!
Функция "ИС" мне необходима не только для конфиденциальности, но и для уничтожения "мусора", занимающего место на диске. В отличие от TG Signal не умеет выделять несколько сообщений за раз, например, мышкой и удалять их в два касания (Desktop версия). Сообщения в мессенджере Signal/Desktop удаляются по одному (в отличие от Signal/Android): необходимо выделить одно сообщение, вызвать меню и стереть его (3 касания = deleting one message + 3 касания чтобы удалить еще и плашку об удалении сообщения). По этой причине у пользователей мессенджера примерно такая свобода действий: либо не уничтожать переписку, растрата места на диске; либо уничтожить одной кнопкой данные всех чатов и по новому добавлять участников и восстанавливать некоторые надстройки; либо по одному сообщению удалять переписку пока пальцы не отвалятся; либо использовать функцию "ИС". Вечная классика: баланс удобства и шифрования. Я выбрал последний пункт: настроил "ИС" по таймеру на сутки.
Несколько дней назад ко мне в Signal-лист добавился старый друг, и мы неплохо порезвились в переписке (образовалась "тонна мусора", которая благополучна автоуничтожилась через 24ч.). Через пару дней, когда я включил ПК и открыл Signal Desktop при медленном 3G интернет соединении, то был неприятно удивлён: вся "удаленная" переписка с упомянутым другом начала прогружаться/появляться подвисая в личке, чтобы в конце этого "Rock N' Roll-a" через пару минут снова удалиться. Хорошо прогружался текст, картинки не успевали появляться тут же удалялись, всю "поэзию" можно было захватывать любым скринкастом/глазом. Я не записал этот скринкаст (для публикации) по причине того, что среди мусора, появлялись некоторые, приватные вещи, которые, как я ошибочно полагал Канули в Лету.
Вывод: "ИС" можно попытаться захватить и это не сложно (по какой-то причине они удаляются с диска, но остаются, как минимум пару суток, на серверах Signal-а). Open Source мессенджер всё ещё вызывает много вопросов, но в виду относительной популярности Signal по сравнению с альтернативными приложениями, некому заниматься их решением на достаточно высоком уровне.