Signal يقلل من عيب مفتاح التشفير
أسماء إمام الرأي العامتعمل Signal أخيرًا على تشديد أمان عميل سطح المكتب الخاص بها عن طريق تغيير كيفية تخزين مفاتيح تشفير النص العادي لمخزن البيانات بعد التقليل من أهمية المشكلة منذ عام 2018.
كما أفاد BleepingComputer في عام 2018، عندما يتم تثبيت Signal Desktop لنظام التشغيل Windows أو Mac، فإنه يقوم بإنشاء قاعدة بيانات SQLite مشفرة لتخزين رسائل المستخدم. يتم تشفير قاعدة البيانات هذه باستخدام مفتاح تم إنشاؤه بواسطة البرنامج وبدون إدخال من المستخدم.
لكي يتمكن البرنامج من فك تشفير قاعدة بيانات مشفرة واستخدامها لتخزين البيانات، يجب أن يكون لديه حق الوصول إلى مفتاح التشفير. في حالة Signal، يقوم بتخزين المفتاح كنص عادي في ملف محلي يسمى %AppData%Signalconfig.json في نظام التشغيل Windows و~/Library/Application Support/Signal/config.json على جهاز Mac.
ومع ذلك، إذا كان بإمكان Signal الوصول إلى هذا المفتاح، فيمكن لأي مستخدم أو برنامج آخر يعمل على الكمبيوتر أن يفعل ذلك، مما يجعل قاعدة البيانات المشفرة عديمة القيمة ويوفر القليل من الأمان الإضافي أو لا يوفره على الإطلاق.
كان أحد الحلول التي قدمها الباحث الذي اكتشف هذا الخلل، ناثانيال سوشي، هو تشفير قاعدة البيانات المحلية بكلمة مرور يقدمها المستخدم ولا يتم تخزينها أبدًا في أي مكان، كما نرى مع برامج النسخ الاحتياطي السحابي، ومتصفحات الويب، ومديري كلمات المرور، ومحافظ العملات المشفرة.
عندما اتصلت BleepingComputer بشركة Signal بشأن الخلل في عام 2018، لم تتلق أي رد مطلقًا.
وبدلاً من ذلك، استجاب مدير دعم Signal لمخاوف المستخدم في منتدى Signal، مشيرًا إلى أن أمان قاعدة البيانات الخاصة به لم يكن أبدًا شيئًا ادعى أنه يوفره.
رد موظف Signal قائلاً: "لم يكن القصد من مفتاح قاعدة البيانات أن يكون سرًا على الإطلاق. فالتشفير غير النشط ليس شيئًا يحاول Signal Desktop حاليًا توفيره أو ادعى أنه يقدمه على الإطلاق".
لكي نكون منصفين لتطبيق Signal، فإن تشفير قواعد البيانات المحلية بدون كلمة مرور مقدمة من المستخدم يمثل مشكلة لجميع التطبيقات ويعتمد على خطوات إضافية لتشديد الأمان بشكل أكبر.
ومع ذلك، باعتبارها شركة تفتخر بأمانها وخصوصيتها، كان من الغريب أن تتجاهل المنظمة المشكلة ولم تحاول تقديم حل.
يظهر عيب التصميم مرة أخرى على X
وبعد مرور ما يقرب من ست سنوات، غرد إيلون ماسك قائلاً: "هناك نقاط ضعف معروفة في Signal لم تتم معالجتها. يبدو الأمر غريبًا..."
لم يشارك ماسك ما هي نقاط الضعف التي كان يشير إليها، ورأى البعض أن تغريدة ماسك هي محاولة لمساعدة Telegram في حملة تدعي أنها أكثر أمانًا من Signal.
ردت رئيسة Signal، ميريديث ويتاكر، بأنه لا يلزم معالجة أي ثغرات أمنية معروفة، وإذا كانت هناك ثغرات، فيجب الكشف عنها بشكل مسؤول للمنظمة.
ومع ذلك، في الأسبوع الماضي، حذر الباحثون في مجال أمن الأجهزة المحمولة، طلال حاج بكري وتومي ميسك من شركة Mysk Inc، على X من استخدام Signal Desktop بسبب نفس الضعف الأمني الذي أبلغنا عنه في عام 2018.
وفي سلسلة من التغريدات، أوضحت شركة Mysk Inc كيف أن الصور والتطبيقات المرسلة عبر تطبيق المراسلة لا يتم تخزينها في مكان آمن أو مشفر، وأن مفتاح التشفير لمخزن الرسائل لا يزال مخزنًا بنص عادي على النظام.
"ملاحظة المجتمع خاطئة وإيلون موسك على حق. تقوم تطبيقات Signal لسطح المكتب بتشفير سجل الدردشة المحلية بمفتاح مخزّن في نص عادي وإتاحته لأي عملية،" غرد الباحثون في موضوع آخر.
"وهذا يترك المستخدمين عرضة لعمليات التسلل. تم الإبلاغ عن المشكلة في عام 2018، ولكن لم تتم معالجتها"
ردًا على ذلك، قلل ويتاكر من أهمية الخلل، مشيرًا إلى أنه إذا كان لدى المهاجم حق الوصول الكامل إلى جهازك، فلن يتمكن Signal من حماية البيانات بشكل كامل.
"تعتمد المشكلات التي تم الإبلاغ عنها على أن المهاجم لديه بالفعل * حق الوصول الكامل إلى جهازك * - إما جسديًا، أو من خلال اختراق البرامج الضارة، أو عبر تطبيق ضار يعمل على نفس الجهاز،" غرد ويتاكر.
"هذا ليس شيئًا يمكن لـ Signal أو أي تطبيق آخر الحماية منه بشكل كامل. ولا ندعي ذلك على الإطلاق."
في حين أنه من غير الواضح ما يعنيه الوصول الكامل إلى الجهاز، يمكن لأي شخص لديه وصول عن بعد أو برامج ضارة تعمل على الجهاز الوصول إلى البيانات.
كان الرد غير معتاد بعد إعادة تغريد ويتاكر المستمرة حول الآثار الأمنية والخصوصية المترتبة على استدعاء Windows من Microsoft وكيف يمكن سرقة البيانات من قبل مهاجمين محليين أو برامج ضارة.