تعمل شركة Signal على إغلاق ثغرة أمنية في تطبيق سطح المكتب الخاص بها

تعمل Telegram على إصلاح خلل في أمان تطبيق سطح المكتب الخاص بها والذي ظل قائمًا لسنوات. وفقًا لما أوردته BleepingComputer، يقوم تطبيق Signal لسطح المكتب على نظامي التشغيل Windows وMac بإنشاء قاعدة بيانات SQLite عند تثبيته لأول مرة. يقوم البرنامج بإنشاء مفتاح لتشفير قاعدة البيانات تلك والذي يتم بعد ذلك تخزينه كملف نص عادي محليًا على الجهاز. يمكن لأي شخص لديه حق الوصول إلى الجهاز الدخول إلى هذا الملف.

ليس عظيما.

Signal هو تطبيق دردشة مشفر يتمتع بسمعة طيبة. بالنسبة للكثيرين، إنها منصة التواصل اليومي مع السائقين. يعد نظام التشفير الشامل الخاص به جيدًا جدًا بحيث يتم استخدامه في برامج أخرى مثل WhatsApp. على الهاتف المحمول، إنه أمر رائع. على أجهزة الكمبيوتر المكتبية؟ أقل من ذلك.

الأمر الغريب هو أن هذه الثغرة الأمنية في تطبيق Signal لسطح المكتب موجودة منذ سنوات. أبلغت BleepingComputer عن هذا الأمر لأول مرة في عام 2018. وفي ذلك الوقت، أخبرت Signal المستخدمين في منتدياتها أن مفتاح قاعدة البيانات لم يكن المقصود منه أبدًا أن يبقى سراً.

“تعتمد المشكلات التي تم الإبلاغ عنها على أن المهاجم لديه بالفعل *وصول كامل إلى جهازك* – إما فعليًا، أو من خلال اختراق البرامج الضارة، أو عبر تطبيق ضار يعمل على نفس الجهاز. هذا ليس شيئًا يمكن لـ Signal أو أي تطبيق آخر الحماية منه بشكل كامل. وقالت رئيسة شركة Signal، ميريديث ويتاكر، في منشور على موقع X يوم 9 يوليو: “نحن لا ندعي ذلك أبدًا”.

فلماذا يعاود كل هذا الظهور الآن؟ إيلون ماسك، وسياسة الحرب الثقافية اليمينية، وتيليجرام.

Telegram هو تطبيق مراسلة شائع آخر، خاصة في أوروبا وروسيا والشرق الأوسط. بشكل افتراضي، لا يحتوي على تشفير من طرف إلى طرف. إنه أيضًا ناقل للبرامج الضارة وعمليات الاحتيال والصور العنيفة. في 8 مايو، وصف الرئيس التنفيذي للشركة بافيل دوروف شركة Signal بأنها وكيل للحكومة الأمريكية في منشور على Telegram.

وقال دوروف: “أنفقت حكومة الولايات المتحدة 3 ملايين دولار لبناء تشفير سيجنال، واليوم يتم تنفيذ نفس التشفير بالضبط في واتساب وفيسبوك ماسنجر ورسائل جوجل وحتى سكايب”. “يبدو الأمر كما لو أنه لا يُسمح لشركات التكنولوجيا الكبرى في الولايات المتحدة ببناء بروتوكولات التشفير الخاصة بها والتي ستكون مستقلة عن التدخل الحكومي.”

كان دوروف يرد على تقرير من المحرض اليميني كريس روفو، الذي انتقد شركة Signal لتورطها مع الرئيس التنفيذي لـ NPR كاثرين ماهر. وقال ماسك في X ردًا على تقرير روفو: “هناك نقاط ضعف معروفة في Signal لم تتم معالجتها”.

لا توجد منصة اتصالات آمنة، ولكن هناك تدرجات. “بروتوكول الإشارة، التشفير وراء Signal (المستخدم أيضًا في WhatsApp والعديد من برامج المراسلة الأخرى) مفتوح المصدر وقد تمت مراجعته بشكل مكثف من قبل خبراء التشفير. قال ماثيو جرين، الباحث الأمني ​​بجامعة جونز هوبكنز، على قناة X في وقت الجدل: “عندما يتعلق الأمر بالتشفير، فهذا هو المعيار الذهبي إلى حد كبير”.

وفقًا لمهندس إشارة على Github، تتمثل الخطة في استخدام Electron SafeStorage API. سيسمح هذا لـ Signal باستخدام أنظمة التشفير الخاصة بكل نظام تشغيل لإضافة طبقة إضافية من الحماية لـ JSON حيث يتم تخزين المفتاح. قال مهندس الإشارة على GitHub: “هذا تغيير كبير سيتطلب الكثير من الاختبارات”. “سيبدأ طرحه قريبًا في إصدار تجريبي قادم وسيصل إلى مرحلة الإنتاج بعد فترة وجيزة على افتراض أن كل شيء يسير على ما يرام.”

ولم ترد Signal على طلب Gizmodo للتعليق.

تعتبر المخاوف الأمنية المتعلقة بأجهزتنا في مقدمة أولوياتنا في الوقت الحالي. كشفت AT&T للتو أن المتسللين وصلوا إلى قاعدة بياناتها في أبريل وقاموا بتنزيل “جميع” بيانات عملائها تقريبًا من الفترة ما بين مايو 2022 وأكتوبر 2022.