Finalmente se está solucionando una vulnerabilidad de larga data en la clave de cifrado de Signal en las aplicaciones de escritorio de la compañía. La solución protegerá completamente la aplicación Mac, pero la empresa sólo podrá ofrecer una solución comprometida para la versión de Windows…
Las aplicaciones de escritorio Signal para Mac y Windows almacenan mensajes en una base de datos SQLite cifrada cuya clave la genera automáticamente la aplicación, sin la participación del usuario.
El problema es que la clave de cifrado se almacena en la máquina en un archivo de texto sin formato local. Cualquier malware capaz de leer archivos locales no cifrados podría obtener la clave y, por tanto, descifrar los mensajes.
Los investigadores de seguridad han estado señalando esta vulnerabilidad durante al menos seis años, y Nathaniel Suchy pidió que la base de datos se cifre con una contraseña de usuario.
Signal desestimó inexplicablemente las llamadas, afirmando incorrectamente que alguien tendría que haber obtenido acceso completo a la PC Mac o Windows para poder leer la clave. Ese no es el caso, ya que existen ejemplos de malware capaces de leer archivos de texto sin formato sin tener acceso autenticado completo a la máquina.
Las cosas estuvieron tranquilas durante seis años hasta que Elon Musk intervino. La comunidad lo notó y la compañía respondió, pero contó con el respaldo de los investigadores de seguridad móvil Talal Haj Bakry y Tommy Mysk.
Computadora que suena informa que esto finalmente convenció a la empresa de solucionar el problema después de que un desarrollador les ofreció una solución.
En abril, un desarrollador independiente, Tom Plant, creó una solicitud para fusionar código que utiliza la API SafeStorage de Electron para proteger aún más el almacén de datos de Signal contra ataques fuera de línea.
“Como simple mitigación, implementé la API safeStorage de Electron para cifrar de manera oportunista la clave con API de plataforma como DPAPI en Windows y Keychain en macOS”, explicó Plant en la solicitud de fusión (…)
Un desarrollador de Signal finalmente respondió que implementaron soporte para safeStorage de Electron, que estaría disponible pronto en una próxima versión Beta.
El uso de Keychain en Mac asegura completamente la clave de cifrado, mientras que la solución de Windows aún podría verse comprometida por algún malware, pero será significativamente más segura que ahora.
Foto de Erik Mclean en Unsplash
