Приложение Signal для Mac отображает недавно полученные сообщения в Центре уведомлений macOS, и эта функция может поставить под угрозу исчезающие личные сообщения пользователя, как обнаружил исследователь безопасности Алек Маффетт и сообщила Motherboard.
Одним из основных преимуществ Signal является возможность отправлять исчезающие сообщения, так что через определенное время сообщение удаляется из приложения.
На этой неделе Маффетт указал в Твиттере, что настройки приложения Signal по умолчанию для Mac в некоторой степени противоречат этой мере безопасности из-за того, как Mac обрабатывает уведомления. Таким образом, даже если вы отправляете самоудаляющееся сообщение в приложении Signal, сообщения остаются в Центре уведомлений Mac получателя, отображая ваше имя и детали сообщения. Маффетт использовал macOS 10.13.4 и Signal версии 1.9.0.
Исследователь безопасности Mac Патрик Уордл затем дальнейше исследовал эту проблему, обнаружив, что «удаленные» сообщения Signal, остающиеся в Центре уведомлений, сохраняются на диске Mac внутри операционной системы. Хотя это верно для любого приложения, отображающего уведомления, это особенно проблематично для пользователей Signal, нуждающихся в высоком уровне безопасности, таких как государственные служащие или журналисты.
Любые вредоносные третьи стороны по-прежнему должны будут получить доступ к вашему Mac, чтобы получить доступ к вашей истории сообщений, поэтому, как отметила Motherboard, «для большинства людей это не представляет большой угрозы». Тем не менее, это может быть серьезным риском безопасности для пользователей Signal высокого уровня, поскольку это означает, что любые исчезающие сообщения, появлявшиеся в Центре уведомлений, могут быть восстановлены позже, «даже после того, как они исчезнут в приложении Signal».
Уордл подытожил свои выводы:
Короче говоря, все, что отображается как уведомление (да, включая ‘исчезающие’ сообщения Signal) в Центре уведомлений macOS, записывается ОС.
Если приложение хочет, чтобы элемент был удален из Центра уведомлений, оно должно гарантировать, что оповещение будет отклонено пользователем или программно! Однако неясно, удаляет ли это также уведомления (и их содержимое) из базы данных уведомлений… Я предполагаю, что нет! Если это так, Signal придется избегать создания уведомлений (содержащих тело сообщения) для исчезающих сообщений…
Уордл сказал, что приложение Signal для iOS на данный момент не имеет аналогичной проблемы, хотя приложение «следует исследовать». Конечно, любой пользователь Signal для Mac, обеспокоенный потенциальными рисками конфиденциальности, может перейти в меню «Настройки» Signal в верхнем левом углу экрана, когда приложение открыто, выбрать «Уведомления» и «Отключить уведомления».
