暗号化メッセージアプリ「Signal for Mac」のログが、Macの通知センターログに残ってしまう問題が確認されたそうです。詳細は以下から。
Signalは米Open Whisper Systemsがオープンソースで開発している暗号化メッセージアプリで、最近では同プロジェクトが公開しているSignalプロトコルを利用しWhatsAppやSkypeがEnd-to-End暗号化に対応しましたが、このSignalのMacアプリにメッセージが通知センターのログに残ってしまう不具合が発見されたそうです。
#HEADSUP: #Security Issue in #Signal. If you are using the @signalapp desktop app for Mac, check your notifications bar; messages get copied there and they seem to persist — even if they are "disappearing" messages which have been deleted/expunged from the app. pic.twitter.com/CVVi7rfLoY
— Alec Muffett (@AlecMuffett) 2018年5月8日
In short, Alec noted that if using the macOS Signal App, disappearing messages may remain in macOS’s Notification Center. Yikes!
When Disappearing Messages Don’t Disappear – Objective-See
この不具合を報告した元Facebookで”Facebook Message”アプリの暗号化などを担当していたソフトウェアエンジニアのAlec MuffettさんとObjective-SeeのPatrick Wardleさんによると、Signal for Macアプリには過去のメッセージをOS X Yosemiteからサードパーティにも開放された通知センターで確認できる機能がありますが、Signal for Macに着信したメッセージがこの通知センターに保存され、
このデータは非Rootユーザーでもアクセスすることが出来る通知センターのSQLiteデータベースに保存されているため、悪意のあるユーザーがMacにアクセス出来た場合、Signalでの会話が筒抜けになる可能性があるそうです。
Wardleさんはこの不具合をOpen Whisper Systemsに報告したそうですが、MacアプリのアップデートがあるまではSignalの[Settings]メニューから通知センターを利用しない様に設定する事で、リスクを低減できるとコメントしています。
- When Disappearing Messages Don’t Disappear – Objective-See
コメント