sabato, Dicembre 7, 2024

Criticità nel database di Signal Desktop: la chiave di decodifica era in chiaro

Signal DESKTOP PROTEGGE IL DATABASE DEI MESSAGGI: LA CHIAVE DI DECODIFICA ERA IN CHIARO

Fino ad oggi gli sviluppatori dell’apprezzata App di Messaggistica Signal, in passato consigliata anche dalla Commissione Europea ai suoi dipendenti, hanno sempre gettato acqua sul fuoco su un problema che emerse addirittura nel 2018. Il client desktop per Windows e macOS si appoggia a un database SQLite, utilizzato per memorizzare i messaggi dell’utente.

IL PROBLEMA DELLA CHIAVE DI DECODIFICA

Il contenuto di tale database è decodificabile soltanto con un’apposita chiave che però, e è questo che ha fatto sobbalzare molti esperti, è conservata in un semplice file di testo, senza alcuna protezione. Si chiama %appdata%Signalconfig.json su Windows e ~/Library/Application Support/Signal/config.json su macOS.

SIGNAL AVEVA MINIMIZZATO IL PROBLEMA

Qualche anno fa, quando fu segnalato a Signal l’aspetto relativo alla gestione del database dei messaggi memorizzato locale, gli sviluppatori ridimensionarono la problematica sostenendo che la crittografia a riposo non è un aspetto su cui Signal Desktop intende puntare. L’app di messaggistica mira soprattutto a fornire una protezione totale sui dati in transito, grazie a una solida soluzione di cifratura end-to-end.

GLI INTERVENTI DI Elon Musk E MEREDITH WHITTAKER

Di recente Elon Musk ha puntato platealmente il dito contro Signal sostenendo che ci sono vulnerabilità sconosciute non ancora affrontate dagli sviluppatori dell’app. Dal canto suo, Meredith Whittaker, presidente di Signal, ha risposto che non esistono vulnerabilità note tali da essere affrontate e che eventuali problemi di Sicurezza dovrebbero comunque essere comunicati a Signal in modo responsabile.

LA SOLUZIONE PROPOSTA DA TOM PLANT

Dopo una nuova bordata di critiche, Signal ha finalmente deciso di prendere provvedimenti. Uno sviluppatore indipendente, Tom Plant, ha proposto di sfruttare l’API SafeStorage di Electron per proteggere il database di Signal contro gli attacchi offline. L’API SafeStorage fornisce metodi aggiuntivi per proteggere la chiave di cifratura utilizzata per cifrare i dati memorizzati localmente. Come? Memorizzando le chiavi di cifratura con il sistema crittografico del sistema operativo e “portachiavi” sicuri.

LE CRITICHE AI RITARDI DI SIGNAL

Sebbene questa soluzione rappresenti un deciso passo avanti, i detrattori sottolineano che la mossa di Signal è arrivata solo dopo la polemica sollevatasi su X.

In conclusione, la questione della gestione del database dei messaggi e della chiave di decodifica di Signal Desktop è stata oggetto di accese discussioni e critiche. La risposta della società è stata finalmente proattiva, con l’implementazione di nuove misure per proteggere la sicurezza dei dati degli utenti. Resta da vedere se queste azioni saranno sufficienti a ristabilire la fiducia degli utenti nella popolare app di messaggistica.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: