O recurso de autodestruição de mensagens do Signal no Mac tem uma baita falha
Existe uma série de apps de mensagens seguros de grande uso para delatores, jornalistas ou simplesmente pessoas que querem mais privacidade. Uma das opções mais conhecidas é o Signal. Uma das características do aplicativo é que ele tem mensagens que podem se autodestruir cinco segundos ou uma semana depois de terem sido visualizadas.
Nesta terça-feira (9), foi descoberto que essas mensagens que deveriam desaparecer ainda estavam por lá — pelo menos no cliente Mac do Signal.
• Cofundador do WhatsApp investe grana alta no Signal para tornar criptografia mais acessível
• Amazon não quer que o Signal use técnica anticensura para funcionar na Rússia e Irã
O Motherboard noticia que o pesquisador de segurança Alec Mufett reparou que os alertas de desktop que Macs geram para, entre outras coisas, mensagens criptografadas não eram apagados automaticamente, mesmo que no app elas tivessem sido marcadas para serem deletadas. Um segundo pesquisador, Patrick Wardle, expôs a vulnerabilidade em um post de blog, demonstrando que era relativamente fácil achar a localização e recuperar essas mensagens.
O Open Whisper Systems, grupo que desenvolve o Signal, também oferece uma extensão do Chrome com uma funcionalidade similar à oferecida para desktop. Embora essa versão gere alertas por meio de um sistema diferenciado do Chrome, não está claro se os conteúdos desses alertas são armazenados localmente e acessíveis quando são marcados para desaparecer.
Entramos em contato com o Open Whisper Systems, Patrick Wardls e o Google para pedir mais detalhes sobre o problema e atualizaremos quando tivermos um posicionamento deles.
Enquanto isso, recomendamos que você desligue as notificações no app do Mac, indo em Preferências de Sistema > Notificações, e que desative a extensão do Chrome até sair uma atualização para o problema.