Acontece que o cliente macOS para o popular aplicativo de mensagens criptografadas de ponta a ponta Signal não consegue apagar adequadamente mensagens que desaparecem (autodestruindo) do sistema do destinatário, deixando o conteúdo de suas mensagens confidenciais sob o risco de serem expostas.
Para aqueles que não sabem, as mensagens que desaparecem no Sinal se auto-destróem após uma determinada duração definida pelo remetente, não deixando rastros dele no dispositivo do receptor ou nos servidores de sinais.
No entanto, o pesquisador de segurança Alec Muffett percebeu que as mensagens que supostamente estão "desaparecendo" ainda podem ser vistas, mesmo que sejam excluídas do aplicativo.
Outro pesquisador de segurança, Patrick Wardle, reproduziu o problema e explicou que o macOS faz uma cópia (parcial para mensagens longas) de mensagens desaparecidas em um banco de dados legível pelo usuário do Centro de Notificação do MacOS, de onde podem ser recuperadas a qualquer momento.
Se você quiser manter suas mensagens recebidas sem ter que verificar sua caixa de entrada obsessivamente, as notificações do macOS na área de trabalho (banners e alertas) que aparecem no canto superior direito da tela são uma ótima maneira de alertar você sobre coisas que não quero perder.
De acordo com uma postagem publicada por Wardle, se você ativou as notificações para o aplicativo Signal, o serviço mostrará notificações para as mensagens que estão desaparecendo, na forma de mensagens truncadas (que geralmente são de 1 a 1,5 linhas da mensagem completa).
Agora, o compartilhamento de mensagens de desaparecimento recebidas com o sistema de notificação leva a dois problemas de privacidade:
- As mensagens "Desaparecendo" podem permanecer na Interface do Usuário do MacOS Notification Center mesmo depois de serem excluídas no aplicativo Signal e podem ser vistas na barra de notificação até que sejam fechadas manualmente pelo usuário.
- No back-end, o banco de dados SQLite do Notification Center também mantém uma cópia de mensagens truncadas, que podem ser acessadas com permissões de usuário normais ou por um aplicativo mal-intencionado instalado no sistema.
Wardle sugere que o Signal não deve fornecer o serviço de notificações para mensagens desaparecidas ou deve excluir explicitamente essas notificações do banco de dados do sistema ao remover as mensagens da interface do usuário do aplicativo.
Enquanto isso, para proteger o conteúdo de suas mensagens confidenciais para que nenhum aplicativo mal-intencionado, hacker ou sua esposa possa recuperá-las, você deve considerar a desativação do serviço de notificações até que o Sinal corrija esse problema.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário