Väljaanne Politico kirjutas hiljutises artiklis, et kurjategijad otsivad viise, kuidas pääseda ligi Signali kasutajate kontodele. Ohule on juhtinud tähelepanu ka Google Threat Intelligence Group (GTIG).
RIA andmeil on Signali kasutamine jätkuvalt turvaline. Rakendus kasutab avatud lähtekoodil põhinevat otspunktide vahelist krüpteerimisprotokolli ja võimaldab verifitseerida sideahela terviklikkust. Pole mingeid viiteid, et rakendust oleks õnnestunud kompromiteerida. Samas tasub olla tähelepanelik levivate kontoõngitsuste ja muude turvaohtude suhtes, mis on seotud näiteks seadme vargusega.
Kasutatakse ära seadme kontoga liitmiseks vajalikku funktsiooni
Teadaolevalt on kurjategijad proovinud ära kasutada Signali rakenduse funktsiooni „linked devices“, mis võimaldab ühe konto külge siduda mitu seadet. Näiteks kui kasutajal on mobiiltelefon, tahvelarvuti, sülearvuti ja lauaarvuti, saab ta soovi korral ühendada kõik need seadmed ühe ja sama Signali kontoga.
Juhul, kui kurjategijal õnnestub siduda oma seade võõra Signali kontoga (või saada võõras seade enda kätte), pääseb ta ligi ka kontol toimuvale suhtlusele. Muu hulgas on teada juhtumeid, kus ründaja saadab kasutajale QR-koodi, mille avamisel ühendatakse pahategija seade ohvri Signali kontoga.
Enamasti seotakse ühe kontoga mitu seadet juhul, kui võetakse kasutusele uus nutiseade ja vanast seadmest tuuakse olemasolev konto üle. Oluline on seejuures siduda vana seade konto küljest lahti. Selliselt käitudes ei teki võimalust, et võõrad pääsevad ligi vanale seadmele ja sellega koos ka Signali rakenduses olevale infole.
Pärast funktsiooni „linked devices“ tutvustamist tõi Signal välja ka sellega kaasnevad riskid, mille maandamine on kasutaja enda kätes. Oluline on teada, et kasutaja saab lihtsalt kontrollida, milliste seadmetega tema konto seotud on. Selleks on vaja oma mobiilseadmes avada rakendus > klõpsata oma kasutaja ikoonil > valida sealt settings > linked devices.
Menüüst on näha kõik seadmed, mis on kasutaja kontoga seotud. Leides nimekirjast tundmatuid seadmeid, tuleks kasutajal need sealt kohe eemaldada. Ettevõtete ja asutuste töötajatel, kes kasutavad Signali rakendust ka tööga seotud tegevusteks, on rangelt soovitatav anda kahtlasest leiust ka oma tööandjale teada.
Kuidas kontrollida kanali turvalisust?
Signal on ahela terviklikkuse verifitseerimist võimaldav suhtlusrakendus. See tähendab, et kui tehniliselt on kahe otspunkti vahel sideühendus loodud (ehk üks kasutaja on teise rakenduses lisanud, talle kirjutanud ning vastuvõtja on kontakti aktsepteerinud) on võimalik teha läbi side täiendav verifitseerimine. Tegemist on funktsiooniga „safety number“, mille kohta saab pikemalt lugeda siit.
„Safety number“ võimaldab peale suhtluskanali loomist kasutajatel sideahelat kontrollida. See annab veendumuse, et vahemehe-tüüpi (man in the middle) rünne ei ole aset leidnud ja loodud on turvaline kanal.
Kui kasutaja on loonud teise poolega kontakti ning avanud temaga vestluskanali, on kanali päises näha kasutaja nimi, kellega ühendus loodi. Klõpsates nimel avaneb menüü, kus on leitav valik „view safety number“. See on number, mis ei liigu kasutaja seadmest kunagi välja ja annab seeläbi võimaluse kontrolliks – võimalik on näiteks helistada teisele kasutajale, kellega on suhtluskanal loodud, või jagada temaga seadmes olevaid koode, kasutades selleks mõnda muud kanalit kui Signal.
Kui mõlemad kasutajad on veendunud, et nad näevad samu koode, on võimalik teha samas menüüs valik „mark as verified“. Peale valiku tegemist ilmub alati kasutajaga vestlust avades päisesse vastav ikoon, mis tähendab, et verifitseerimiskoodid on vahetatud ja need ei ole muutunud.
Tavapäraselt muutuvad koodid siis, kui üks osapool vahetab oma seadet, lisab kontole täiendava seadme või toimub tarkvarauuendus. Seejärel on vaja verifitseerimine uuesti läbi teha. Rakendus annab koodide muutusest märku teatega, et verifitseerimiskood on muutunud. Teate saamisel oleks otstarbekas teiselt kasutajalt uurida, mis põhjusel kood muutus.
Mida peaks kasutaja silmas pidama?
- Otspunkt-krüpteerimine tähendab seda, et side on kaitstud sel ajal, kui info liigub kahe kasutaja ehk otspunkti vahelises kanalis. Kasutaja peaks aga meeles pidama, et kui rakendust kasutav seade on kompromiteeritud, võib olla tekkinud ligipääs ka rakenduses olevale infole. Selle riski vastu aitab „disappearing messages“ funktsiooni kasutamine.
- Lisaks tasub läbi mõelda seadme turvalisus laiemalt – kas keegi näeb, mida rakenduses kirjutatakse, kas lukustatud ekraanidelt on sõnumite sisu näha, kas keegi kuulab avalikus kohas audiokõnet pealt.
- Tööalastes Signali gruppides ole alati oma ees- ja perekonnanimega ja nõua seda ka teistelt grupi liikmetelt. Gruppi peaks saama liikmeid lisada ainult administraator ja administraatoreid võiks grupis olla võimalikult vähe, et säiliks ülevaade grupis toimuvast. Samas ei puugi suurema ja olulisema grupi puhul ühest administraatorist piisata, et tagada grupi pidev toiminine.
- Eira Signalis tundmatute isikute kontaktipalveid ja ava rakenduses QR-kood ainult juhul, kui hakkad kontoga uut seadet siduma. Kontrolli aeg-ajalt ka üle, millised seadmed su Signali konto küljes on: selleks mine oma äpis: settings - linked devices.
Signalis toimunud intsidentide kohta palume teavituse saata CERT-EE-le aadressil [email protected].
Loomise kuupäev: 26.02.2025
