Telegram, masaüstü uygulamasının yıllardır devam eden güvenlik açığını gideriyor. BleepingComputer tarafından bildirildiSignal’in hem Windows hem de Mac’teki Masaüstü uygulaması ilk yüklendiğinde bir SQLite veritabanı oluşturur. Program, daha sonra makinede yerel olarak düz metin dosyası olarak depolanan bu veritabanının şifrelemesi için bir anahtar oluşturur. Makineye erişimi olan herkes bu dosyaya erişebilir.
Harika değil.
Signal, iyi bir üne sahip şifreli bir sohbet uygulamasıdır. Birçok kişi için günlük sürücü iletişim platformudur. Uçtan uca şifreleme sistemi o kadar iyidir ki WhatsApp gibi diğer programlarda kullanılır. Mobil cihazlarda harikadır. Masaüstü bilgisayarlarda? Daha az.
Garip olan şey, Signal’in masaüstü uygulamasındaki bu güvenlik açığının yıllardır var olması. BleepingComputer ilk bildirilen 2018 yılında bu konuda bir açıklama yaptı. O dönemde Signal, forumlarındaki kullanıcılara veritabanı anahtarının hiçbir zaman gizli tutulmasının amaçlanmadığını söylemişti.
“Bildirilen sorunlar, bir saldırganın halihazırda *cihazınıza tam erişime* sahip olmasına dayanıyor — ya fiziksel olarak, bir kötü amaçlı yazılım ihlali yoluyla ya da aynı cihazda çalışan kötü amaçlı bir uygulama yoluyla. Bu, Signal’in veya başka herhangi bir uygulamanın tam olarak koruyabileceği bir şey değil. Biz de bunu iddia etmiyoruz,” Signal Başkanı Meredith Whitaker X’te bir gönderide şöyle dedi 9 Temmuz’da.
Peki tüm bunlar neden şimdi yeniden gündeme geliyor? Elon Musk, sağcı kültür savaşı politikaları ve Telegram.
Telegram, özellikle Avrupa, Rusya ve Orta Doğu’da popüler bir mesajlaşma uygulamasıdır. Varsayılan olarak uçtan uca şifrelemeye sahip değildir. Ayrıca bir vektördür kötü amaçlı yazılım, dolandırıcılıkve şiddet içeren görüntüler. 8 Mayıs’ta CEO’su Pavel Durov Sinyal diye seslendi Telegram’da yaptığı paylaşımda ABD hükümetinin ajanı olarak tanımlandı.
Durov, “ABD hükümeti, Signal’in şifrelemesini oluşturmak için 3 milyon dolar harcadı ve bugün aynı şifreleme WhatsApp, Facebook Messenger, Google Mesajlar ve hatta Skype’ta uygulanıyor,” dedi. “ABD’deki büyük teknoloji şirketlerinin, hükümet müdahalesinden bağımsız olacak kendi şifreleme protokollerini oluşturmalarına izin verilmiyormuş gibi görünüyor.”
Durov, NPR CEO’su Katherine Maher ile olan ilişkisi nedeniyle Signal’i eleştiren sağcı kışkırtıcı Chris Ruffo’nun raporuna tepki gösteriyordu. Musk, “Signal’de ele alınmayan bilinen güvenlik açıkları var” dedi. X’te söylendi Ruffo’nun raporuna yanıt olarak.
Hiçbir iletişim platformu güvenli değildir, ancak eğimler vardır. “Signal Protokolü, Signal’in (WhatsApp ve diğer birçok mesajlaşma uygulamasında da kullanılan) arkasındaki kriptografidir ve açık kaynaklıdır ve kriptograflar tarafından yoğun bir şekilde incelenmiştir. Kriptografi söz konusu olduğunda, bu neredeyse altın standarttır,” Johns Hopkins güvenlik araştırmacısı Matthew Green X’te söylendi tartışmanın yaşandığı dönemde.
Bir Signal mühendisine göre Githubplan Elektron’u kullanmaktır güvenliDepolama API’si. Bu, Signal’in anahtarın saklandığı JSON için ekstra bir koruma katmanı eklemek üzere her işletim sisteminin kendi şifreleme sistemlerini kullanmasına olanak tanıyacaktır. Signal mühendisi GitHub’da “Bu, çok fazla test gerektirecek büyük bir değişiklik,” dedi. “Yakında bir beta sürümünde kullanıma sunulmaya başlayacak ve her şey yolunda giderse kısa bir süre sonra üretime girecek.”
Signal, Gizmodo’nun yorum talebine yanıt vermedi.
Şu anda aklımızın en önemli konusu cihazlarımızdaki güvenlik endişeleri. AT&T yeni açıkladı Nisan ayında bilgisayar korsanlarının veritabanına eriştiği ve Mayıs 2022 ile Ekim 2022 arasındaki bir dönemdeki müşterilerinin “neredeyse tüm” verilerini indirdiği bildirildi.