Hafta sonu boyunca, Signal’in en güvenilir şifreli sohbet uygulamaları Web’de oldukça kötü bir sıfır gün güvenlik açığı vardı. Artık neredeyse çürütülmüş olan iddialar, kısa sürede bilgi güvenliği topluluğunda paniğe neden oldu.
Güvenlik sitesi BleepingComputer raporlar “Çok sayıda kaynak” sözde hata hakkında bilgi verdi ve bazıları bunun “tamamen ele geçirilmesine” yol açabilecek kadar kötü olduğunu duyduklarını iddia etti. [impacted] cihazlar.” Ne yazık ki, hatayla ilgili gerçek ayrıntılar yetersizdi, ancak sıklıkla tekrarlanan bir iddia şuydu: sözde bir hafifletme tekniği: Signal’i kapatmak için bağlantıların önizlemesi özellik. Bu, güvenlik açığının bu özellikle ilgili olduğunu gösteriyor gibiydi. Bir diğer söylenti ise iddiaların geliyordu Federal hükümet için çalışan insanlardan gelen bu iddialara meşruiyet katıyor gibi görünüyordu.
Üretilen her şey önemli ilgi X ve Mastodon gibi sosyal sitelerdeki güvenlik uzmanlarından birçoğu iddiaları kendileri araştırdıklarını söyledi.
Ancak Signal’a göre raporlar hiçbir şeyden ibaret değil. Şirket, hata söylentilerini araştırdığını ve bunları kanıtlayacak hiçbir şey bulamadığını söylüyor. Pazar günü Signal’in başkanı Meredith Whittaker, X’e giderek bu iddiayı açıkça yalanladı. “Signal’de bir güvenlik açığına ilişkin tuhaf viral rapor alanlar için önemli PSA. Soruşturmanın ardından: RAPORUN GERÇEK OLDUĞUNA İLİŞKİN HİÇBİR KANIT YOK” dedi Whittaker tweet attı.
Signal’in cevabının ardından bazı güvenlik uzmanları, iddiaların viral hale gelmesine yol açan histeriyi eleştirdi. “Bu hafta sonu 0day copypasta sinyalini hiçbir şekilde araştırmadan veya onaylamadan paylaşan, normalde bilgi güvenliği konusunda akıllı olan kişilerin miktarı gerçekten hayal kırıklığına uğrattı.” tweet attı Cooper Quinton, Electronic Frontier Foundation’da araştırmacı. “Dezenformasyon saldırılarına karşı bağışıklığımız yok ve bu hafta sonu bunun çarpıcı bir örneğiydi.”
Ticari gözetim endüstrisinin kiralık hackerlar Yaygın olarak kullanılan platformlardaki, özellikle de mesajlaşma programlarındaki güvenlik zayıflıklarını araştıran kişiler. Aslında bir bütün sıfır gün piyasası haberciler için mevcut ve bu ayın başlarında TechCrunch’tan bir rapor bunu gösterdi Bu tür güvenlik açıkları, doğru alıcı için 8 milyon dolar kadar değerlidir. Yaygın olarak güvenilen bir gizlilik uygulaması olan Signal için böyle bir uygulama mevcut olsaydı, kuşkusuz oldukça fazla para değerinde olurdu.
Signal, bir hata olduğuna dair bir kanıt olmadığını söylese de, güvenlik açığının gerçek olduğuna dair herhangi bir kanıtla ilgileniyor gibi görünüyor ve ilgili bilgiye sahip herkesin kendilerine [email protected] adresinden ulaşmasını önerdi.