Inicio / Actualidad / El proceso de actualización de Signal deja mensajes sin cifrar en el disco

El proceso de actualización de Signal deja mensajes sin cifrar en el disco

Signal es una aplicación de comunicación que se enorgullece de ofrecer mensajes cifrados, pero no proporciona la misma protección al realizar una actualización de su extensión de Chrome a la versión de escritorio, ya que exporta los mensajes de un usuario como archivos de texto sin cifrar.

Al actualizar de la extensión de Signal Chrome a Signal Desktop, el proceso requiere que el usuario elija una ubicación para guardar los datos del mensaje (texto y archivos adjuntos), para importarlos automáticamente en la nueva versión.

Después de esta etapa, el hacker e investigador de seguridad Matt Suiche notó que la aplicación descargó la información en una ubicación de su elección sin encriptarla primero. Anunció su descubrimiento en Twitter y también presentó un informe de error .

“Insano. Totalmente demente”, escribió en su Twitter, agregando una captura de pantalla que muestra los datos de texto sin formato que envía Signal durante el proceso de actualización.

El directorio principal contiene carpetas individuales para cada contacto de Signal disponible. Las carpetas se nombran después del nombre del contacto y su número de teléfono; por lo tanto, simplemente abriendo el directorio principal muestra detalles confidenciales. Las conversaciones se almacenan en archivos JSON dentro de cada carpeta.

Suiche encontró el problema en macOS cuando recibió una notificación para actualizar la extensión de Signal para Chrome. En las pruebas que hizo BleepingComputer en Linux Mint con varias cuentas de prueba, observamos el mismo comportamiento:

Durante las pruebas, no vimos ninguna advertencia sobre los datos que se almacenan en forma no cifrada. Además, la información persiste en el disco incluso después de que se complete la actualización y la nueva Señal la importe. Los usuarios tienen que eliminar las carpetas manualmente para reducir el riesgo de perder sus conversaciones privadas.

La extensión de la señal para Chrome es obsoleta

Signal ha estado disponible para teléfonos móviles desde el principio, pero la conveniencia también requería una versión de escritorio, que llegó en forma de una extensión de Chrome.

 

Para preservar los hilos de conversación y los medios que se han intercambiado de forma segura a través del canal de comunicación de Signal, los datos en la aplicación Chrome se extraen a una carpeta local y luego se importan automáticamente en la variante independiente.

No es el único problema con Signal Desktop

Sin embargo, descartar una versión a favor de otra no es razón para dejar descifrados en los mensajes informáticos que la aplicación cifra tanto en tránsito como en reposo. En una conversación con BleepingComputer, Suiche dijo que Signal no debería realizar un proceso de actualización de esta manera ya que expone a toda la base de usuarios de la aplicación Chrome.

De acuerdo con Keith McCammon, cofundador y director de seguridad de Red Canary, Signal Desktop también es malo en la eliminación de medios adjuntos a mensajes que desaparecen, una función que elimina mensajes de los dispositivos involucrados en una conversación después de un período específico de tiempo .

McCammon dice que al mirar a través del sistema de archivos uno seguramente encontrará archivos de medios que deberían haberse eliminado.

El experto en seguridad Dan Tentler intervino con detalles sobre su experiencia con la actualización de la aplicación Signal Desktop Chrome en macOS:

Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

Microsoft negó a la policía la tecnología de reconocimiento facial por cuestiones de derechos humanos

Microsoft ha dicho que rechazó una solicitud de la policía de California para usar su …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.