Signal es una aplicación de comunicaciones que hace alarde en su capacidad de mensajería encriptada, el problema es que falla en aprovisionar esa misma protección cuando está realizando una actualización a la versión de escritorio desde su extensión de Chrome, debido a que exporta los mensajes del usuario como archivos de texto no encriptados.
Al actualizar Signal Desktop desde la extensión Signal Chrome, el proceso requiere que el usuario elija una ubicación para guardar los datos de mensajes (texto y adjuntos), con tal de importarlos automáticamente a la nueva versión.
Luego de este paso, el investigador de seguridad y hacker Matt Suiche se dió cuenta que la aplicación volcaba la información en una ubicación que él escogió sin encriptar los archivos antes. Él anunció su descubrimiento mediante Tweeter, además de realizar el reporte de fallos al fabricante. “Es completamente insano”, añadió, agregando una captura de pantalla que muestra los datos en texto plano volcados por Signal durante la actualización.
El directorio principal contiene distintos subdirectorios, uno para cada contacto distinto en Signal. Estos subdirectorios llevan el nombre del contacto y su número de teléfono. Junto con esto, sólo al ingresar a ellos podemos encontrar información sensible. Las conversaciones son almacenadas en el formato JSON (JavaScript Object Notation) sin encriptación ni ofuscamiento, de forma que es posible leer su contenido a simple vista.
Suiche realizó el hallazgo en macOS al recibir una notificación de actualización de la extensión de Signal para Chrome. En tests realizados por BleepingComputer en entorno Linux arrojó el mismo resultado. Tampoco hay advertencias de que el contenido se esta guardando sin encriptar, además de que esta información persiste en el disco duro una vez de que la actualización se completa y la nueva versión de Signal la importa. Los usuarios deben eliminar este subdirectorio manualmente para mitigar el riesgo de filtración de sus conversaciones privadas.
La extensión de Signal para Chrome se encuentra obsoleta. Signal ha estado disponible para teléfonos móviles desde un comienzo, pero debido a la conveniencia se requirió el desarrollo de una versión para computadores de escritorio, la cual apareció como una extensión de Chrome.
Esto significa que la aplicación de escritorio encriptaba sus comunicaciones sólo cuando Google Chrome se encontraba en ejecución. Desde octubre de 2017 existe una nueva variante como aplicación standalone, la cual desecha la interacción con Chrome. Además esto marcó el comienzo del fin para la aplicación de Chrome, la cual expira en menos de un mes.
El problema no es sólo con Signal Desktop. Deprecar una versión en favor de otra, no es motivo suficiente para dejar los datos sin encriptar siendo que el objetivo de este sistema es justamente la transmisión encriptada de conversaciones y archivos. Además se ha descubierto que Signal Desktop no remueve correctamente archivos que han sido adjuntos a mensajes que desaparecen (una funcionalidad que borra los mensajes luego de cierta cantidad de tiempo), ya que estos adjuntos se pueden encontrar en el sistema de archivos de todas formas
Fuente: https://www.bleepingcomputer.com/news/security/signal-upgrade-process-leaves-unencrypted-messages-on-disk/
