image

Signal-extensie slaat berichten onversleuteld op tijdens upgrade

dinsdag 23 oktober 2018, 12:17 door Redactie, 4 reacties

De Chrome-extensie van de end-to-end versleutelde chat-app Signal blijkt berichten en verstuurde bestanden tijdens het upgraden naar de losstaande desktopversie onversleuteld op de harde schijf op te slaan, wat tot ophef bij sommige beveiligingsexperts zorgt.

Andere experts zeggen dat Signal vooral bedoeld is voor het beveiligen van het transport van berichten en dat als een aanvaller lokale toegang heeft het al 'game over' is. Signal is een mobiele chat-app die gebruikers end-to-end versleuteld met elkaar laat communiceren. Eind 2015 verscheen er een Chrome-extensie waarmee gebruikers de app ook via de desktop konden gebruiken. Afgelopen november lanceerde Signal een nieuwe desktopversie die los van Google Chrome werkt. De ondersteuning van de Chrome-extensie zal binnenkort stoppen.

Gebruikers van de Chrome-extensie kunnen hun berichten en data via een upgrade meenemen naar de losstaande desktopversie. Bij dit proces worden de berichten en bijlagen echter lokaal en onversleuteld op de harde schijf opgeslagen, zo meldde beveiligingsexpert Matt Suiche op Twitter. Volgens Suiche en verschillende andere experts is dit onbegrijpelijk, maar sommige experts hebben een andere mening. "Signal Desktop-berichten worden toch al onversleuteld op je schijf opgeslagen. Als ze versleuteld zouden zijn, zou je de sleutel moeten opgeven wanneer je de app opent", zegt journalist en security-engineer Micah Lee.

Ook Kenton Varda, tech lead bij Cloudflare, stelt dat het om een storm in een glas water gaat. "Wat had je anders verwacht? Als iemand toegang tot je harde schijf heeft is het al game over. Er is geen magische encryptie die Signal kan gebruiken om je te beschermen. Je moet volledig schijfversleuteling in je besturingssysteem inschakelen, of berichten-logging uitschakelen als je niet wil dat je logs worden opgeslagen." Volgens Varda is het dan ook prima dat Signal het aan gebruikers overlaat om hun schijf te versleutelen. Suiche heeft inmiddels een bugmelding bij Signal aangemaakt, maar de ontwikkelaars hebben daar nog niet op gereageerd.

Reacties (4)
23-10-2018, 12:48 door Anoniem
Zoals Kenton Varda al zegt, wat had je dan verwacht?
23-10-2018, 12:50 door Anoniem
Gut, hebben ze dan hun harde schijf niet encrypt?
23-10-2018, 13:57 door Anoniem
Signal is overrated product en ik zie niet een groot verschil tussen Whatsapp en Signal alleen dat Signal veiligheid als een marketing-tool inzet.
23-10-2018, 15:51 door Joep Lunaar
Door Anoniem: Signal is overrated product en ik zie niet een groot verschil tussen Whatsapp en Signal alleen dat Signal veiligheid als een marketing-tool inzet.
Het verschil tussen wat je schrijft "ik zie niet" en "ik weet niet" lijkt me flinterdun.
WhatApp gebruikt voor de versleuteling van de messaging (transport) het door Open Whisper Systems ontwikkelde signal protocol. Belangrijkste verschil tussen de Signal en WhatsApp is dat bij de laatste de metadata (wie met wie wanneer communiceert) voor WhatsApp kenbaar is, bij Signal niet. WhatsApp biedt bovendien een eenvoudige manier om je account met alle berichten mee te nemen naar een ander toestel; dat gemak is gelijkertijd een verzwakking van de bescherming van je data. Bij Signal is het meenemen van je geschiedenis naar een ander toestel wat lastiger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.