Uma vulnerabilidade que os desenvolvedores ignoraram por seis anos foi corrigida no mensageiro seguro Signal.

Os desenvolvedores do aplicativo Signal só agora tomaram medidas para eliminar a vulnerabilidade na versão desktop do cliente, que lhes foi apontada em 2018 – durante seis anos eles não consideraram isso um problema e disseram que não havia obrigação de faça isso.

Fonte da imagem: Mika Baumeister / unsplash.com

Quando você instala o aplicativo de desktop Signal para Windows ou macOS, é criado um banco de dados SQLite criptografado que armazena as mensagens do usuário. Este banco de dados é criptografado por meio de uma chave gerada pelo programa sem intervenção do usuário. Para que o programa abra o banco de dados e o utilize para armazenar correspondência, ele precisa de acesso à chave de criptografia – ela é armazenada na pasta do aplicativo em texto não criptografado em um arquivo JSON. Mas se um aplicativo tiver acesso a essa chave, qualquer outro usuário ou aplicativo que esteja trabalhando no mesmo computador poderá fazer isso – como resultado, a criptografia do banco de dados é inútil porque não fornece segurança adicional.

Fonte da imagem: x.com/elonmusk

Os usuários do mensageiro relataram isso repetidamente aos seus desenvolvedores desde 2018, mas a resposta sempre foi aproximadamente a mesma: eles nunca alegaram garantir a segurança do banco de dados. Em maio deste ano, o problema chamou a atenção de Elon Musk, que escreveu em sua rede social X que existem vulnerabilidades conhecidas no Signal que não estão sendo corrigidas. O serviço de verificação de fatos da plataforma refutou essa afirmação, observando que nenhuma vulnerabilidade devidamente documentada foi encontrada no mensageiro – tese confirmada pela presidente da Signal, Meredith Whittaker.

A situação continuou a piorar, mas o problema foi resolvido pelo desenvolvedor independente Tom Plant, que propôs usar a API Electron SafeStorage para proteger o armazenamento de dados do Signal. Isso permitirá que você transfira as chaves de criptografia para locais seguros: para Windows é DPAPI, para macOS é Keychain e para Linux é o armazenamento secreto do gerenciador de janelas atual, por exemplo, kwallet ou gnome-libsecret. Esta não é uma solução perfeita, especialmente no Windows com DPAPI, mas ainda é uma medida de segurança adicional. E há dois dias, um representante da Signal disse que a solução proposta foi integrada ao messenger e já aparecerá na próxima versão beta do cliente. Enquanto a nova implementação está sendo testada, os desenvolvedores do Signal mantiveram um mecanismo de backup que permite ao programa descriptografar o banco de dados da maneira usual.