No macOS, Signal tem falha em sistema de autodestruição de mensagens

Por Felipe Demartini | 09 de Maio de 2018 às 13h31

Uma grave falha de segurança na versão para macOS do Signal foi descoberta por dois especialistas em segurança, permitindo que usuários recuperem mensagens enviadas pelo aplicativo mesmo após elas serem apagadas por seu sistema de autodestruição. A brecha é de simples exploração, não exigindo nem mesmo privilégios de administrador.

A primeira parte da descoberta foi feita por acaso, quando o analista Alec Muffett percebeu que as mensagens teoricamente deletadas do Signal ainda apareciam na central de notificações do macOS. Elas não apenas poderiam ser visualizadas novamente, permanecendo lá até que os avisos fossem dispensados manualmente, mas também incluíam o nome do remetente e o horário de contato.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

A segunda vulnerabilidade, ainda mais grave, foi revelada quando o pesquisador em segurança da informação Patrick Wardle decidiu olhar a questão com um pouco mais de atenção. Ao fazer isso, ele descobriu que as mensagens registradas pelo sistema de notificações do macOS ficam armazenadas no HD dos computadores.

Elas permanecem lá após desaparecerem do aplicativo e mesmo que o usuário dispense os alertas. Os textos podem ser localizados em um banco de dados acessível por qualquer um que tenha permissões normais de acesso à máquina, bastando, por exemplo, o uso de uma senha comum. Não é necessário ser um administrador nem utilizar ferramentas avançadas de criptografia para visualizar o conteúdo dos textos que, teoricamente, deveriam se autodestruir.

As descobertas vêm como más notícias para quem é adepto dessa prática. Isso vai desde o usuário que curte o envio de textos e fotos mais picantes até jornalistas, delatores ou habitantes de áreas de conflito ou repressão, que podem ter suas identidades reveladas e o conteúdo de informações passadas adiante recuperado mesmo contra a própria vontade.

A Apple não se pronunciou sobre o assunto, enquanto a Open Whisper Systems, que desenvolve o Signal, também manteve o silêncio até então. Não dá para saber se uma correção está sendo desenvolvida nem quando ela será liberada, mas as companhias foram notificadas sobre o assunto, além de contatadas pela imprensa internacional em busca de declarações.

Até que uma solução para o problema seja encontrada, porém, os usuários podem contornar a questão acessando o menu de configurações do Signal e desabilitando as notificações, ou, pelo menos, impedindo que elas exibam o nome e o conteúdo da mensagem recebida. Isso não vai fazer com que os textos sensíveis recebidos anteriormente desapareçam efetivamente, mas, ao menos, resolve o problema daqui em diante, em detrimento de um pouco menos de conveniência para o utilizador.

Fonte: Motherboard

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.