Исследователи обнаружили, что самоуничтожающиеся сообщения в десктопном клиенте Signal для Mac при определенных условиях подлежат восстановлению. Для тех, кто не знает: самоуничтожающиеся сообщения в Signal хранятся ограниченное время, которое задает отправитель. По истечении этого срока сообщение удаляется, не оставляя и следа ни на сервере, ни на устройствах получателя и отправителя.

Первым на проблему клиента для macOS обратил внимание ИБ-специалист Алек Маффлетт (Alec Muffett). Он обнаружил, что сообщения, даже если они удалены из самого приложения, все равно можно прочесть.

Более подробный анализ данной проблемы опубликовал еще один ИБ-специалист, Патрик Вордл (Patrick Wardle). Исследователь объясняет, что копии самоуничтожающихся сообщений (или частей сообщений, если те были длинными) сохраняются в БД операционной системы, а именно Центра уведомлений (Notification Center), откуда могут быть прочитаны даже после удаления в самом Signal.

Таким образом, если пользователь macOS включил отображение уведомлений для Signal, ОС будет хранить все доставленные уведомления, включая отрывки самоуничтожающихся посланий. В итоге просмотреть уже исчезнувшие из Signal сообщения можно либо напрямую через UI Центра уведомлений (если пользователь еще не закрыл их вручную), либо найти копии сообщений в SQLite БД Notification Center, доступ к которой можно получить с привилегиями обычного пользователя.

Теперь специалисты рекомендуют разработчикам мессенджера пересмотреть работу с уведомлениями для самоуничтожающихся посланий. Так, по мнению Патрика Ворлда, Signal для macOS либо не должен отображать уведомления для  таких сообщений вовсе, либо должен корректно стирать их копии из БД после удаления из приложения.

3 комментария

  1. Digital Forensic Examiner

    11.05.2018 at 20:22

    Странно, что это не работает в Windows

  2. musiyenko

    12.05.2018 at 10:33

    Alec Muffett ведёт себя как идиот… Занёс меня в твиттере в список безмозглых русских ботов и рассказывает мне, что whatsapp и messenger от фейсбука — это круто, а телеграм — это хрень.
    https://twitter.com/AlecMuffett/status/995025556705021954

  3. Atos4444

    13.05.2018 at 09:44

Оставить мнение