Signal виправив вразливість після шести років: що варто знати

Розробники програми Signal лише зараз зайнялись усуненням вразливості у десктопній версії клієнта, яку відзначили ще у 2018 році. Протягом шести років вони не вважали це за проблему і не відчували зобов’язання виправити її.

При встановленні десктопної версії Signal для Windows або macOS створюється зашифрована база даних SQLite, в якій зберігаються повідомлення користувача. Шифрування здійснюється за допомогою ключа, який генерується програмою автоматично, без участі користувача. Однак цей ключ зберігається у відкритому вигляді у файлі формату JSON у папці програми, що дозволяє доступ до нього будь-якому користувачеві чи іншому додатку, що працює на тому ж комп’ютері. Це уразливість піддавала сумнівам безпеку шифрування бази даних.

Відповідно до повідомлень від користувачів з 2018 року, розробники Signal відповідали, що не зобов’язані забезпечувати безпеку бази даних. У травні 2024 року Ілон Маск зазначив відомі вразливості у Signal, хоча цю інформацію спростувала служба перевірки фактів платформи.

Незалежний розробник Том Плант запропонував використовувати для захисту засоби Electron SafeStorage API, що дозволить перенести ключі шифрування в захищені розташування: для Windows — DPAPI, для macOS — Keychain, для Linux — секретне сховище поточного віконного менеджера. Це рішення було інтегроване в месенджер і буде доступне у майбутній бета-версії, забезпечуючи додатковий рівень безпеки.