Signal -viestisovellus onnistuttu murtamaan?
Vaikka monet viestisovellukset kehuvat salauksillaan - mm. WhatsApp ja Telegram tuovat tätä puolta esiin markkinoinnissaan - on maailmassa käytännössä vain yksi pikaviestisovellus, jonka tietoturvaan luotetaan laajasti.
Signal on avoimeen lähdekoodiin perustuva, erittäin vahvasti salattu pikaviestisovellus, jota monet journalistit, toisinajattelijat ja muut korkeaa tietoturvaa kaipaavat tahot käyttävät.
Nyt israelilainen vakoiluteknologiaa kauppaava yritys, Cellebrite, kertoo murtaneensa Signalin salauksen. Yhtiö on kansainvälisesti tunnettu vakoiluteknologiaa kehittävä yritys, joka myy tuotteitaan lähinnä viranomaisten käyttöön. Yhtiö ei kuitenkaan pahemmin rajaa asiakaskuntaansa ja sitä syytetään tuotteidensa myynnistä diktatuureille ja valtioille, joissa on erittäin huono ihmisoikeuksien tilanne.
Cellebriteä on mm. syytetty siitä, että sen tuotteiden avulla on vakoiltu demokratiaa vaativia aktivisteja Hong Kongin erityishallintoalueella, jonka demokratiaa Kiina on viime aikoina alkanut nujertamaan. Kohun jälkeen Cellebrite kertoi, ettei se enää myy tuotteitaan Kiinalle.
Yhtiö julkaisi torstaina blogissaan tiedon siitä, että yksi sen tuotteista, Cellebrite Physical Analyzer, pääsee nyt käsiksi Signalin tietoihin. Aiemmin julkaistussa versiossa samasta blogipostauksesta (joka on sittemmin poistettu yhtiön sivuilta) Cellebrite kuvaili miten "Signalin salattujen viestien ja liitetiedostojen salauksen purkaminen ei ollut helppo tehtävä". Yhtiön mukaan se käytti Signalin avointa lähdekoodia hyväkseen ja etsi siitä heikkouksia, joiden avulla yhtiön tutkijat olivat onnistuneet murtamaan Signalin salauksen.
Signal salaa viestien lisäksi myös kaikki liitetiedostot sekä erilaisen metadatan, josta voitaisiin päätellä tietoja, kuten keskusteluun osallistuneet osapuolet.
Signal ei ole ainakaan toistaiseksi kommentoinut väitteitä siitä, että sen sovelluksen käyttämä salaus olisi onnistuttu murtamaan. Cellebriten väitteistä uutisoi ensimmäisenä israelilainen Haaretz -verkkojulkaisu.
EDIT: Signalin toimitusjohtaja ja luoja Moxie Marlinspike kuitenkin kommentoi Twitterissä, että kyseessä oli varsin heppoinen murto, sillä Cellebriten käytössä oli Android-laite joka oli avattu. Hänen mukaansa hakkerit olisivat yhtä hyvin voineet aukaista Signal-sovelluksen ja katsoa viestit.
Marlinspiken mukaan Cellebriten julkaisema artikkeli oli muutenkin amatöörimäinen ja tämä oli lienee syynä siihen, että artikkeli myöhemmin poistettiin.
This (was!) an article about "advanced techniques" Cellebrite uses to decode a Signal message db... on an *unlocked* Android device! They could have also just opened the app to look at the messages.
— Moxie Marlinspike (@moxie) December 11, 2020
The whole article read like amateur hour, which is I assume why they removed it.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT