圖片來源: 

Alec Muffet

加密訊息軟體Signal最為人知的功能之一是訊息會自動毁滅,不留痕跡。不過有安全專家發現,Signal中的訊息竟然會出現在Mac電腦的通知中。

安全專家Alec Muffet提醒,如果你使用的是Mac版Signal,最好檢查一下Mac電腦的訊息列;友人傳送來的訊息即使在app中看似已經刪除,實際上卻複製到通知而永久保存著。

根據他貼出的螢幕擷圖(下),一則設定一天到期的Signal訊息,在Mac上卻在4天後仍能看到訊息,而使用者姓名及傳送的內容都清楚可見。安全專家執行的是MacOS 10.13.4及Signal Mac版1.9.0,但另有用戶在MacOS 10.13.3及Signal Mac 1.6.1環境也出現理應過期的連結卻出現在聯絡紀錄中。

 

 

最先報導本新聞的Motherboard引述名為Wardle的安全研究人員指出,這些訊息是儲存在手機上的SQLite資料庫,雖然它是以二進位plist格式儲存,但很容易還原成明碼訊息。這表示惡意程式、駭客或執法機關都能繞過完整的硬碟防護,進而存取使用者傳送的訊息,不論他是一般用戶、罪犯,或是政治人物、記者。

所幸這只是個設定問題,並非漏洞,而且外人得要接觸到用戶Mac電腦才能讀取訊息。此外,要防範也不難,只要在Signal app的偏好設定中找到「通知」訊息,然後在「不公佈發信人姓名及訊息內容」、或是「只顯示發信人姓名」,就可以防止訊息外洩。不過調整設定後,之前已經出現的訊息內容和聯絡人姓名也不會消失,需要從SQLite資料庫刪除。此外,採用全磁碟加密也能防止資料被外人存取。


熱門新聞

Advertisement