Signal corrigirá brecha no seu app para Mac encontrada em… 2018!

O Signal finalmente corrigirá uma vulnerabilidade presente no seu aplicativo para macOS e Windows anos após a sua descoberta. O problema consiste no armazenamento da chave de criptografia da base de dados de mensagens como um arquivo de texto, permitindo que malwares capazes de acessar os arquivos da máquina tenham acesso à chave, conseguindo descriptografar mensagens.

Desde 2018, a empresa é alertada em relação a essa questão, com pedidos de que a criptografia da base de dados fosse feita com uma senha definida pelo usuário, por exemplo. O problema voltou à tona com um post no X (ex-Twitter) feito por ninguém menos que o empresário Elon Musk, afirmando que havia vulnerabilidades conhecidas e não tratadas no mensageiro.

There are known vulnerabilities with Signal that are not being addressed. Seems odd …

— Elon Musk (@elonmusk) May 6, 2024

Existem vulnerabilidades conhecidas no Signal que não estão sendo corrigidas. Parece estranho…

De início, o Signal rebateu os apontamentos, dizendo que seria necessário o invasor obter acesso completo ao computador para conseguir ler a chave. Outros pesquisadores corroboraram o que Musk publicou, no sentido de que o armazenamento da chave em texto representa uma vulnerabilidade, com a possibilidade de pessoas acessando o computador remotamente ou malwares rodando localmente chegarem aos dados.

O mensageiro, porém, insistiu que nem o Signal nem qualquer outro app poderia se proteger contra ameaças que conseguissem acesso completo à máquina, bem como que isso nunca teria sido prometido pela empresa. Não haveria, então, um problema a ser corrigido, apesar da ênfase clara do app de troca de mensagens na segurança e na privacidade.

De todo modo, como repercutido pelo Bleeping Computer, a situação terminou levando a empresa a corrigir o problema, também após um desenvolvedor independente, Tom Plant, apresentar uma solução. Ele sugeriu o uso de uma API ¹ para melhorar a segurança dos dados armazenados pelo mensageiro por meio da criptografia da chave, usando ferramentas como o Keychain (no macOS) e o DPAPI (no Windows).

Um desenvolvedor do Signal respondeu à solicitação feita por Plant afirmando que o suporte à API sugerida foi implementado e que estará disponível em uma vindoura versão beta em breve. Vale notar que, no Windows, a proteção ainda estaria restrita a usuários do mesmo dispositivo, continuando a apresentar brechas ao rodar programas no mesmo contexto que o Signal — ao passo que, no Mac, a correção será mais sólida.

Mesmo com essa limitação e com o tempo decorrido, a novidade é bastante positiva para os usuários do Signal, especialmente considerando que o mensageiro é utilizado por muitas pessoas com foco na privacidade e na segurança dos dados. Uma outra opção de contingência que permitirá descriptografar a base de dados com uma chave antiga será adicionada e funcionará enquanto o novo recurso for testado.