O Signal é um serviço de mensagens instantâneas de elevada segurança. A sua privacidade e qualidade é de tal forma elevada que era a escolha de Edward Snowden para comunicação.
Presente em várias plataformas móveis e de desktop, tem a garantia de segurança máxima. Na verdade, esta pode não ser assim tão grande, pelo menos no macOS.
Para além de todos os mecanismos de cifra de mensagens, usados na sua troca, uma das formas que o Signal usa para garantir a segurança das comunicações dos seus utilizadores é a eliminação das mensagens.
A falha de segurança no macOS
Se na maioria dos sistemas isto é verdade, no macOS pode não acontecer, por culpa do sistema de notificações deste sistema operativo. Mediante uma configuração que muito utilizadores têm ativa, as mensagens são guardadas.
Quem descobriu esta falha foi Patrick Wardle, um investigador de segurança, que publicou as suas descobertas no Twitter. Para além disso detalhou todo o processo e o problema associado numa publicação.
#HEADSUP: #Security Issue in #Signal. If you are using the @signalapp desktop app for Mac, check your notifications bar; messages get copied there and they seem to persist — even if they are "disappearing" messages which have been deleted/expunged from the app. pic.twitter.com/CVVi7rfLoY
— Alec Muffett (@AlecMuffett) May 8, 2018
Do que foi descoberto, constatou-se que as mensagens estão a ser copiadas da app Signal para o sistema de notificações do macOS e depois guardadas numa simples base de dados SQL. O software elimina as mensagens, mas estas permanecem guardadas no sistema operativo, tendo ainda o contacto do remetente.
Uma vez guardadas nesta base de dados fica simples aceder-lhes e retirá-las para posterior leitura. Segundo Patrick Wardle este pode ser um problema que poderá não estar presente no iOS, mas requer confirmação.
A solução do problema do Signal
A forma de resolver esta falha é aparentemente simples. Basta aceder às definições do Signal e alterar as configurações das notificações, filtrando a informação apresentada ou simplesmente desativado-as. As mensagens anteriores ficam, no entanto, registadas.
Esta é uma falha grave, pois coloca em casa todas as garantias de segurança do Signal, que tem neste pressuposto uma das suas mais-valias. Provavelmente de futuro a app terá configurações diferentes, mas por agora a falha está presente e deve ser resolvida com a mudança nas configurações.