Güvenlik araştırmacısı Harry Sintonen, şifrelenmiş mesajlaşma programı Signal'ın silinen mesajları silme konusunda beklendiği kadar dikkatli olmadığını ortaya çıkardı. Sorunu yetkili irtibat kişisine bildirdi ve altı ay boyunca herhangi bir yanıt alamadı. Artık halka açık hale gelecek.
Duyurudan sonra devamını okuyun
Signal uygulaması, tüm mesajları depolamak için şifrelenmiş bir SQLite veritabanı kullanır. Bu, zamanlanmış silme işlemleri de dahil olmak üzere işlemleri, belirli durumlarda işlenen ön yazma günlüğü adı verilen bir günlükte geçici olarak kaydeder. Bir kullanıcı Signal uygulamasında bir mesajı silerse (veya “kaybolan mesajları” kullanırsa), ilgili veritabanı girişi uygulamada gizlenir ve yazma öncesi günlüğünde silinmek üzere işaretlenir. Sintonen'e göre, silme işleminin gerçekleştirilmesi ve mesajın cihazdan kaybolması günler, hatta sinyal örnekleri nadiren kullanılıyorsa haftalar sürebilir.
Şifrelenmiş SQLite veritabanı basit bir dosyadır. Kullanıcı Signal uygulama verilerini düzenli olarak yedeklerse, örneğin Apple'ın Time Machine'i ile saatlik yedekleme yoluyla, gerçekten silinmiş mesajları içeren veritabanı dosyaları bir yedeklemeye yerleştirilebilir ve süresiz olarak orada kalabilir. En azından düz metin halinde değiller: Signal uygulamasının SQLcipher veritabanı şifrelenmiş. Mesajları okumak isteyen bir saldırganın bu şifrelemeyi kırması veya anahtarları kullanıcıdan alması gerekecekti. Signal, Linux, Windows ve macOS için masaüstü uygulamaları sunduğundan bu bir bilgi hırsızı aracılığıyla mümkündür.
Risk genellikle çok yüksek değildir
Signal'i oldukça yoğun kullanan kullanıcılar için silinen mesajların uzun süre cihazda kalma riski düşüktür. Çünkü yazma öncesi yazmacı belli bir boyuta ulaştıktan sonra işlenir ve boşaltılır. Silinen mesajın hemen kaybolduğundan emin olmak istiyorsanız uygulamayı yeniden başlatmanız yeterlidir; yazma öncesi günlüğü bunu da işler.
Olası saldırılar ve veri sızıntıları muhtemelen daha açık masaüstü işletim sistemleriyle sınırlı olacaktır; bu sistemlerin kullanıcıları, hassas mesajların yanlışlıkla Time Machine yedeklemesine düşmemesini sağlamalıdır. Güvenli tarafta olmak istiyorsanız Signal uygulamasını masaüstü bilgisayarınızdan yasaklayın ve yalnızca akıllı telefonunuzda kullanın.
Signal ekibi araştırmacıları görmezden geliyor
Duyurudan sonra devamını okuyun
Yayınlanmadan önce altı aylık bir bekleyiş vardı. Kasım 2025'te Sintonen, Signal'in güvenlik ekibiyle temasa geçti ancak yanıt alamadı. Nisan ayında bizimle iletişime geçme girişimleri de başarısız oldu. Signal 180 gün kapalı kaldıktan sonra güvenlik araştırmacısı güvenlik açığını bir danışma belgesinde yayınlamaya karar verdi. Ayrıca sorunu kendi başınıza anlamanıza olanak tanıyan bir “kavram kanıtı” da içerir. Güzel detay: “KENSENTME” örnek mesajı Sierra'nın 1980'lerdeki macera oyunlarının hayranlarına tanıdık gelecektir.
Leisure Suit Larry 1987'de bir barın arka kısmına girmek için “Ken beni gönderdi” şifresini kullandığında henüz şifreli mesajlaşma programlarından bahsetmiyorduk.
Şu anda Signal Messenger, diğerlerinin yanı sıra federal politikacıların da kurbanı olduğu büyük kimlik avı kampanyalarının hedefidir. Ancak “Sinyal vakası” uygulamadaki güvenlik açıklarından değil, kurbanlara karşı yapılan akıllıca bir dolandırıcılıktan tetiklendi. Signal artık karşı önlemleri alıyor.
(cku)
Bir yanıt yazın