Signal 安全性 修正 Android 版誤發相片漏洞已堵塞

Signal 安全性 修正 Android 版誤發相片漏洞已堵塞

不少港人都有使用的即時通訊 app Signal ,在上年 12 月被用戶投訴,發送相片後對方竟會接收到一些來歷不明的相片,令人擔心是否洩漏了其他用戶的相片。經過大半年調查, Signal 終於發現問題所在及在最新版本中修補錯誤。到底點解要半年時間?原來同 Signal 安全性 有關!

目錄

即時通訊軟件 Signal 安全性獲名人認證

Signal 誤送來歷不明相片

重複 ID 引發誤傳相片

Signal 私隱問題屬受關注

即時通訊軟件 Signal 安全性 獲名人認證

自從今年年初 WhatsApp 宣布推出新私隱政策,強制用戶必須將資料與 Facebook 公享,即時引爆即時通訊軟件逃亡潮, Telegram 及 Signal 即時受惠,再加上港人日漸注重個人私隱,因此後兩者自然更受港人歡迎。當中 Signal 被公認為最安全的即時通訊軟件之一,不單採用端到端加密(end-to-end encryption)技術,將用戶收發訊息及通話以演算法加密,即使中途被攔截也無法破解;同時亦不會儲存用戶任何使用數據,並將用戶登記資訊模糊化(obscuring),就連 Signal 本身也無法得知與用戶有任何關連的資訊,因此前 CIA 吹哨人 Edward Snowden 亦宣稱他每天都在用Signal,反映其安全機制備受信賴。

Signal 誤送來歷不明相片

不過, Signal 用戶 Rob Connolly 在上年 12 月發文,指當他向朋友發送一個 gif 圖案時,對方竟在同一訊息內收到其他相片,最重要是這些相片既未有存在於 Connolly 的手機,亦不屬於接收一方,因此極度懷疑這些相片可能來自其他用戶,因 Signal 出現問題而被錯誤發送。幸好該批相片沒有任何敏感資料,只是純粹風景圖,否則有可能導致私隱外洩危機。相隔兩個月,再有另一用戶確認自己成為「受害者」,他在發送相片或連結(Signal 會自行衍生預覽圖)時,亦間歇性地出現相關問題,情況令人憂慮。

Signal 安全性 修正 Android 版誤發相片漏洞已堵塞
有 Signal 用戶報告在發送相片(左)後,朋友會收到其他來歷不明的相片(右)。

重複 ID 引發誤傳相片

Signal 在上年 12 月接獲投訴後,已即時展開調查,Android 版開發者 Greyson Parrelli 解釋,由於公司未有儲存用戶任何使用記錄,再加上相關問題無法被輕易重現, Signal 開發團隊便只能要求受影響用戶提交使用記錄,才能從中找出問題所在,因此才花費了超過半年時間。 Parrelli 解釋今次錯誤原來出在 SQLite database 圖像訊息 ID 重用上,即由於代表該訊息的 ID 與其他 ID 重疊,系統便誤將這些圖像發送至採用同一 ID 的用戶手機上。不過, Parrelli 說團隊已在最新的 Signal Android 版本 5.17.3 內修正了問題,於 SQLite database圖表的 ID 欄上加入 AUTOINCREMENT 屬性,保證自動生成 ID 從未被使用,用戶就不會再收到來歷不明的訊息或圖片。

Signal 私隱問題屬受關注

事實上,有關 Signal 安全性 的問題時有出現,例如專為各國政府提供破解手機服務的 Cellebrite ,便曾於上年 12 月宣稱破解了 Android 版 Signal ,但真相仍備受質疑,更反過來被 Signal 發現對方的破解神器 UFED 存在安全漏洞,只要在手機內加入一個惡意檔案,就可在兩者接駁時徹底破壞破解神器內收集到的所有搜證記錄!因此直至現時為止, Signal 仍然是最安全的即時通訊軟件之一。

詳情:https://bit.ly/3zDdPcT