Signal-extensie slaat berichten onversleuteld op tijdens upgrade
De Chrome-extensie van de end-to-end versleutelde chat-app Signal blijkt berichten en verstuurde bestanden tijdens het upgraden naar de losstaande desktopversie onversleuteld op de harde schijf op te slaan, wat tot ophef bij sommige beveiligingsexperts zorgt.
Andere experts zeggen dat Signal vooral bedoeld is voor het beveiligen van het transport van berichten en dat als een aanvaller lokale toegang heeft het al 'game over' is. Signal is een mobiele chat-app die gebruikers end-to-end versleuteld met elkaar laat communiceren. Eind 2015 verscheen er een Chrome-extensie waarmee gebruikers de app ook via de desktop konden gebruiken. Afgelopen november lanceerde Signal een nieuwe desktopversie die los van Google Chrome werkt. De ondersteuning van de Chrome-extensie zal binnenkort stoppen.
Gebruikers van de Chrome-extensie kunnen hun berichten en data via een upgrade meenemen naar de losstaande desktopversie. Bij dit proces worden de berichten en bijlagen echter lokaal en onversleuteld op de harde schijf opgeslagen, zo meldde beveiligingsexpert Matt Suiche op Twitter. Volgens Suiche en verschillende andere experts is dit onbegrijpelijk, maar sommige experts hebben een andere mening. "Signal Desktop-berichten worden toch al onversleuteld op je schijf opgeslagen. Als ze versleuteld zouden zijn, zou je de sleutel moeten opgeven wanneer je de app opent", zegt journalist en security-engineer Micah Lee.
Ook Kenton Varda, tech lead bij Cloudflare, stelt dat het om een storm in een glas water gaat. "Wat had je anders verwacht? Als iemand toegang tot je harde schijf heeft is het al game over. Er is geen magische encryptie die Signal kan gebruiken om je te beschermen. Je moet volledig schijfversleuteling in je besturingssysteem inschakelen, of berichten-logging uitschakelen als je niet wil dat je logs worden opgeslagen." Volgens Varda is het dan ook prima dat Signal het aan gebruikers overlaat om hun schijf te versleutelen. Suiche heeft inmiddels een bugmelding bij Signal aangemaakt, maar de ontwikkelaars hebben daar nog niet op gereageerd.
WhatApp gebruikt voor de versleuteling van de messaging (transport) het door Open Whisper Systems ontwikkelde signal protocol. Belangrijkste verschil tussen de Signal en WhatsApp is dat bij de laatste de metadata (wie met wie wanneer communiceert) voor WhatsApp kenbaar is, bij Signal niet. WhatsApp biedt bovendien een eenvoudige manier om je account met alle berichten mee te nemen naar een ander toestel; dat gemak is gelijkertijd een verzwakking van de bescherming van je data. Bij Signal is het meenemen van je geschiedenis naar een ander toestel wat lastiger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
