Технічний гігант Apple виправив недолік безпеки, через який ФБР отримувало доступ до видалених повідомлень користувачів Signal через базу даних push-сповіщень їхнього телефону, незважаючи на те, що додаток було видалено, а повідомлення налаштовано на зникнення.
У повідомленні щодо безпеки, опублікованому в середу, Apple заявила, що виправила помилку, через яку «сповіщення, позначені для видалення», «раптово зберігалися на пристрої».
У дописі X у середу Signal заявив, що оновлення вирішило проблему, через яку правоохоронні органи могли відновлювати повідомлення користувача.
«Порада Apple підтвердила, що помилки, які дозволили цьому статися, були виправлені в останньому випуску iOS», — повідомили в Signal.
Signal використовує наскрізне шифрування для захисту повідомлень між своїми користувачами. Помилка є нагадуванням про те, що шифрування повідомлень може бути недостатнім для захисту даних під час використання певних пристроїв або операційних систем.
ФБР знайшло бекдор для приватних повідомлень
Цей недолік безпеки вперше було висвітлено незалежним новинним веб-сайтом технологій 404 Media, який 9 квітня повідомив, що нещодавно розпечатані у федеральному суді Техасу документи стосуються справи ФБР щодо нападу на тюремний заклад Prairieland ICE у липні минулого року.
Судове провадження показало, що ФБР змогло криміналістично вилучити повідомлення Signal відповідача з бази даних сповіщень iPhone, яка містила кешовані, доступні для читання попередні перегляди вхідних повідомлень Signal навіть після того, як зникнення повідомлень було ввімкнено та додаток було видалено.
Після звіту 404 Media президент Signal Мередіт Віттакер закликала Apple швидко вирішити цю проблему, зазначивши в публікації X від 14 квітня, що «сповіщення про видалені повідомлення не повинні залишатися в базі даних сповіщень ОС».
Павло Дуров, співзасновник конкуруючого додатка для обміну конфіденційними повідомленнями Telegram, також прокоментував звіт, стверджуючи в дописі в Telegram від 14 квітня, що єдиний спосіб справді залишатися в безпеці — це «примусова відсутність попереднього перегляду сповіщень» з обох сторін розмови.
