L'app Signal Desktop mostra la chiave di cifratura in chiaro e permette di accedere al database dei messaggi

Signal è da sempre una delle app per la messaggistica ritenute più sicure in assoluto. Realizzata dal ricercatore e crittografo Moxie Marlinspike, l’algoritmo per la cifratura end-to-end sul quale si basa è stato integrato in WhatsApp (Crittografia end to end su WhatsApp, come funziona) ed è stato recentemente adottato anche da Skype (Crittografia end-to-end al debutto in Skype).

Gli errori, però, si verificano anche nelle migliori famiglie: Nathaniel Suchy ha scoperto che Signal Desktop, ovvero la versione del programma di messaggistica istantanea installabile su PC, memorizza la chiave crittografica necessaria per decodificare tutti i messaggi nel file %AppData%\Signal\config.json in Windows e nel file ~/Library/Application Support/Signal/config.json su macOS.

Aprendo tale file ci si troverà dinanzi alla chiave di cifratura memorizzata in chiaro. Aprendo quindi il database di Signal (%AppData%\Roaming\Signal\sql\db.sqlite) con SQLite Database Browser basterà inserire la chiave estratta in precedenza per avere pieno accesso all’intero archivio dei messaggi.

Sempre in queste ore un altro ricercatore – Matt Suiche – ha notato che aggiornando dall’estensione Signal per Chrome a Signal Desktop i messaggi scambiati in precedenza venivano salvati in chiaro, in locale, e salvati come file di testo.