Nel corso dello scorso weekend si è diffusa online la notizia di una vulnerabilità di sicurezza zero-day di Signal relativa alla funzione Genera anteprime dei collegamenti. Dopo un’indagine accurata della piattaforma, la stessa ha dichiarato come non vi siano prove tangibili dell’esistenza di questo potenziale bug.
Le dichiarazioni di Signal arrivano dopo diverse segnalazioni, sia tramite il sito BleepingComputer che attraverso il social X, di alcuni utenti che avrebbero perso totalmente il controllo del loro dispositivo in seguito a tale vulnerabilità.
We also checked with people across US Government, since the copy-paste report claimed USG as a source. Those we spoke to have no info suggesting this is a valid claim.
We take reports to security@signal.org very seriously, and invite those with real info to share it there. 2/
— Signal (@signalapp) October 16, 2023
“PSA: abbiamo visto vaghe segnalazioni virali che lamentano una vulnerabilità di Signal 0-day” si legge in una dichiarazione sul suddetto social network. Attraverso lo stesso canale, poi, Signal ha fatto sapere come “Dopo un’indagine responsabile *non abbiamo prove che suggeriscano che questa vulnerabilità sia reale* né sono state condivise ulteriori informazioni tramite i nostri canali di segnalazione ufficiali“.
“Abbiamo anche verificato con persone del governo degli Stati Uniti, dal momento che il rapporto copia-incolla indicava USG come fonte. Coloro con cui abbiamo parlato non hanno informazioni che suggeriscano che si tratti di un’affermazione valida“.
La vulnerabilità zero-day di Signal non è stata confermata, ma la piattaforma resta in allerta
Forte anche di fonti così attendibili, la notizia del presunto zero-day si è diffusa rapidamente online e nella comunità della sicurezza informatica durante sabato pomeriggio. I rumors, provenienti da figure anonime, avevano anche proposto la potenziale soluzione al bug, ovvero la disattivazione della già citata impostazione Genera anteprime dei collegamenti.
Sebbene Signal abbia dichiarato di non avere prove di un nuovo zero-day, richiede comunque che coloro che dispongono di informazioni nuove e “reali” contattino il proprio team di sicurezza.