Araştırmacılar, popüler mesajlaşma uygulamalarından Signal'da ciddi bir güvenlik açığı keşfetti.
Güvenlik firması Tenable'ın keşfettiği sorun, hacker'ların kullanıcının yaklaşık (kaba) konum verisine ve belirli hareketleri izlemesine ulaşmasına olanak tanıyor. Elde edilen veri, kullanıcının hangi saatlerde evde, işte veya sevdiği mekanda olduğunu gösterebiliyor. Saldırı düzenlemek için hacker'ın kullanıcıyı Signal üzerinden araması yeterli oluyor. Kullanıcının çağrıya cevap verip vermemesinin bir önemi bulunmuyor.
Signal'in 4.59.0 Android sürümünde bulunan sorunun iOS'ta 3.8.0.34 sürümünden bulunabileceği söyleniyor.
Uçtan uca şifreleme kullanan Signal'in, muhbir ve gizliliğin önemli isimlerinden Edward Snowden tarafından kullanıldığı iddia ediliyordu. Ancak Tenable tarafından yayınlanan rapor, uygulamanın sanılan gizlilik düzeyinde olmadığını söylüyor.
Yeni keşfedilen güvenlik açığı, kullanıcının DNS'i hakkında bilgiler sızdırabiliyor. Bu şekilde konum bilgisi elde edilebiliyor ve hacker, kurbanının konumunu 400 mil çapında bir isabetle tahmin edebiliyor. Bu çok büyük bir alan gibi görünse de, farklı ağlardan gönderilecek DNS sunucusu ping'leriyle daha isabetli tahminler yapılabiliyor.
Raporda belirtildiği üzere Signal sorunu GitHub üzerinde hızla onarsa da, Tenable'a göre bu yamayı uygulamanın zorluğu, çoğu sıradan kullanıcının bilgisini aşıyor. Yani hacker'lar, yama App Store ve Play Store'a gelene kadar açıktan faydalanabilirler.
Tenable, bu süre içerisinde DNS tüneli kullanan bir VPN hizmeti kullanmanızı öneriyor.