Signal finalmente risolve una grave vulnerabilità presente nelle app per Windows e macOS

• Dopo circa sei anni dalla scoperta, Signal ha deciso di correggere una grave vulnerabilità presente nelle app per Windows e macOS. La vulnerabilità, scoperta nel 2018, consentiva a qualsiasi software (malware inclusi) di accedere alla chiave crittografica utilizzata per decifrare il database dei messaggi, che viene memorizzata in chiaro nelle directory %AppData%\\Signal\\config.json su Windows e ~/Library/Application Support/Signal/config.json su macOS.

• I ricercatori di Mysk hanno nuovamente evidenziato il bug qualche giorno fa, sottolineando che Elon Musk aveva ragione nel sostenere che Signal non aveva ancora risolto questa vulnerabilità nota. Hanno inoltre mostrato che è possibile accedere ai dati semplicemente copiandoli su un altro computer sul quale è installato Signal, sebbene i messaggi siano protetti dalla crittografia, mentre foto, video e documenti non lo sono.

• La Presidente Meredith Whittaker ha dichiarato che nessuna app offre la protezione completa, se un cybercriminale ha già ottenuto l'accesso al dispositivo. Tuttavia, due giorni fa, uno sviluppatore di Signal ha comunicato che in una prossima versione beta verrà aggiunto il supporto alle API safeStorage di Electron per cifrare la chiave crittografica del database.