De Chrome-extensie van de end-to-end versleutelde chat-app Signal blijkt berichten en verstuurde bestanden tijdens het upgraden naar de losstaande desktopversie onversleuteld op de harde schijf op te slaan, wat tot ophef bij sommige beveiligingsexperts zorgt.
Andere experts zeggen dat Signal vooral bedoeld is voor het beveiligen van het transport van berichten en dat als een aanvaller lokale toegang heeft het al 'game over' is. Signal is een mobiele chat-app die gebruikers end-to-end versleuteld met elkaar laat communiceren. Eind 2015 verscheen er een Chrome-extensie waarmee gebruikers de app ook via de desktop konden gebruiken. Afgelopen november lanceerde Signal een nieuwe desktopversie die los van Google Chrome werkt. De ondersteuning van de Chrome-extensie zal binnenkort stoppen.
Gebruikers van de Chrome-extensie kunnen hun berichten en data via een upgrade meenemen naar de losstaande desktopversie. Bij dit proces worden de berichten en bijlagen echter lokaal en onversleuteld op de harde schijf opgeslagen, zo meldde beveiligingsexpert Matt Suiche op Twitter. Volgens Suiche en verschillende andere experts is dit onbegrijpelijk, maar sommige experts hebben een andere mening. "Signal Desktop-berichten worden toch al onversleuteld op je schijf opgeslagen. Als ze versleuteld zouden zijn, zou je de sleutel moeten opgeven wanneer je de app opent", zegt journalist en security-engineer Micah Lee.
Ook Kenton Varda, tech lead bij Cloudflare, stelt dat het om een storm in een glas water gaat. "Wat had je anders verwacht? Als iemand toegang tot je harde schijf heeft is het al game over. Er is geen magische encryptie die Signal kan gebruiken om je te beschermen. Je moet volledig schijfversleuteling in je besturingssysteem inschakelen, of berichten-logging uitschakelen als je niet wil dat je logs worden opgeslagen." Volgens Varda is het dan ook prima dat Signal het aan gebruikers overlaat om hun schijf te versleutelen. Suiche heeft inmiddels een bugmelding bij Signal aangemaakt, maar de ontwikkelaars hebben daar nog niet op gereageerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.