Uma vulnerabilidade de chave de criptografia Sign de longa information nos aplicativos de desktop da empresa está finalmente sendo corrigida. A correção protegerá totalmente o aplicativo Mac, mas a empresa só poderá oferecer uma solução de compromisso para a versão Home windows …
Os aplicativos de desktop do Sign para Mac e Home windows armazenam mensagens em um banco de dados SQLite criptografado cuja chave é gerada automaticamente pelo aplicativo, sem envolvimento do usuário.
O problema é que a chave de criptografia é armazenada na máquina em um arquivo de texto simples native. Qualquer malware capaz de ler arquivos locais não criptografados poderia obter a chave e, portanto, descriptografar as mensagens.
Pesquisadores de segurança vêm apontando essa vulnerabilidade há pelo menos seis anos, com Nathaniel Suchy pedindo que o banco de dados seja criptografado com uma senha de usuário.
O Sign inexplicavelmente descartou as chamadas, alegando incorretamente que alguém teria que ter obtido acesso complete ao Mac ou PC Home windows para ler a chave. Esse não é o caso, pois há exemplos de malware capazes de ler arquivos de texto simples sem ter acesso autenticado complete à máquina.
As coisas ficaram quietas por seis anos até que Elon Musk interveio. Ele foi notado pela comunidade, e a empresa reagiu, mas ele foi apoiado pelos pesquisadores de segurança móvel Talal Haj Bakry e Tommy Mysk.
Computador bipando relata que isso finalmente convenceu a empresa a corrigir o problema depois que um desenvolvedor ofereceu uma solução.
Em abril, um desenvolvedor independente, Tom Plant, criou uma solicitação para mesclar código que usa a API SafeStorage da Electron para proteger ainda mais o armazenamento de dados do Sign contra ataques offline.
“Como uma mitigação simples, implementei a API safeStorage da Electron para criptografar a chave de forma oportunista com APIs de plataforma como DPAPI no Home windows e Keychain no macOS”, explicou Plant na solicitação de mesclagem (…)
Um desenvolvedor do Sign finalmente respondeu que implementou suporte para o safeStorage da Electron, que estaria disponível em breve em uma próxima versão Beta.
Usar o Keychain no Mac protege totalmente a chave de criptografia, enquanto a solução do Home windows ainda pode ser comprometida por algum malware, mas será significativamente mais segura do que agora.
Foto de Erik Mclean no Unsplash