安全研究人员批评 Signal Messenger 在 Mac 上的桌面应用程序。在测试中,安全研究人员和 iOS 开发人员使用脚本将信号数据(包括数据库和所有消息)复制到虚拟机。在那里,他发现加密的数据库和加密密钥并排存储,使他可以直接访问所有内容。 Mac 上运行的所有应用程序都可以访问此文件夹。
在测试中,消息被传递到 Mac 或 VM。开发者的iPhone已收到所有消息。据安全研究人员称,这三个会话都是活跃且有效的。 Signal 没有警告用户存在第三个会话(重复的会话)。此外,Signal 仅在我的 iPhone 上显示一台链接的设备。
该视频显示 macOS 上的@signalapp (7.15.0) 在本地存储通过应用程序发送的照片和文档,且未加密。更糟糕的是,这些文件保存在任何应用程序或脚本都可以访问的位置。但是,文本消息本地存储在加密的数据库中。 #隐私#安全pic.twitter.com/vDNQ3bwLGs
— 米斯克 ???? (@mysk_co) 2024 年 7 月 5 日
据称,受害者 Mac 上具有适当权限的恶意应用程序可以复制数据并将其发送给攻击者,从而允许攻击者访问消息。目前Signal还没有发表任何声明。这个故事是不是很熟悉?可以说,2018 年和 2022 年就已经有针对 Signal 的批评了。人们经常认为,在类似的情况下,如果恶意应用程序已经可以访问您的 Mac,您将遇到完全不同的问题。
