تعمل Telegram على إصلاح خلل في أمان تطبيق سطح المكتب الخاص بها والذي استمر لسنوات. وكما ذكر موقع BleepingComputer، فإن تطبيق سطح المكتب الخاص بـ Signal على كل من Windows وMac ينشئ قاعدة بيانات SQLite عند تثبيته لأول مرة. يقوم البرنامج بإنشاء مفتاح لتشفير قاعدة البيانات هذه والذي يتم تخزينه بعد ذلك كملف نص عادي محليًا على الجهاز. يمكن لأي شخص لديه حق الوصول إلى الجهاز الوصول إلى هذا الملف.
ليس عظيما.
Signal هو تطبيق محادثة مشفر يتمتع بسمعة طيبة. بالنسبة للعديد من الأشخاص، فهو منصة التواصل اليومية التي يستخدمونها. نظام التشفير الشامل الذي يقدمه جيد للغاية لدرجة أنه يُستخدم في برامج أخرى مثل WhatsApp. على الأجهزة المحمولة، إنه رائع. على أجهزة الكمبيوتر المكتبية؟ أقل من ذلك.
الأمر الغريب هو أن هذه الثغرة الأمنية في تطبيق سطح المكتب الخاص بـ Signal كانت موجودة منذ سنوات. فقد أبلغ عنها موقع BleepingComputer لأول مرة في عام 2018. وفي ذلك الوقت، أخبر Signal المستخدمين على منتدياته أن مفتاح قاعدة البيانات لم يكن من المفترض أن يظل سريًا على الإطلاق.
“تعتمد المشكلات المبلغ عنها على أن المهاجم لديه بالفعل *الوصول الكامل إلى جهازك* – إما فعليًا، من خلال اختراق البرامج الضارة، أو عبر تطبيق ضار يعمل على نفس الجهاز. هذا ليس شيئًا يمكن لـ Signal، أو أي تطبيق آخر، الحماية منه بالكامل. ولا ندعي ذلك أبدًا،” قالت رئيسة Signal، ميريديث ويتاكر، في منشور على X في 9 يوليو.
إذن لماذا عادت كل هذه الأحداث إلى الظهور الآن؟ إيلون ماسك، وسياسات الحرب الثقافية اليمينية، وتيليجرام.
يعد تطبيق Telegram تطبيق مراسلة شائعًا آخر، وخاصة في أوروبا وروسيا والشرق الأوسط. لا يحتوي التطبيق افتراضيًا على تشفير من البداية إلى النهاية. كما أنه ناقل للبرامج الضارة والاحتيال والصور العنيفة. في الثامن من مايو، وصف الرئيس التنفيذي للشركة بافيل دوروف تطبيق Signal بأنه عميل للحكومة الأمريكية في منشور على Telegram.
وقال دوروف “أنفقت الحكومة الأميركية 3 ملايين دولار لبناء تشفير سيجنال، واليوم يتم تطبيق نفس التشفير بالضبط في واتساب وفيسبوك ماسنجر وجوجل مسج وحتى سكايب. ويبدو الأمر وكأن شركات التكنولوجيا الكبرى في الولايات المتحدة غير مسموح لها ببناء بروتوكولات تشفير خاصة بها مستقلة عن تدخل الحكومة”.
كان دوروف يرد على تقرير من المحرض اليميني كريس روفو، الذي انتقد سيجنال لتورطها مع الرئيسة التنفيذية لشبكة NPR كاثرين ماهر. وقال ماسك على X ردًا على تقرير روفو: “هناك نقاط ضعف معروفة في سيجنال لم يتم معالجتها”.
لا توجد منصة اتصال آمنة، ولكن هناك تدرجات. قال الباحث الأمني في جامعة جونز هوبكنز ماثيو جرين على برنامج X في وقت الجدل: “بروتوكول Signal، التشفير وراء Signal (المستخدم أيضًا في WhatsApp والعديد من برامج المراسلة الأخرى) مفتوح المصدر وتمت مراجعته بشكل مكثف من قبل خبراء التشفير. عندما يتعلق الأمر بالتشفير، فهذا هو المعيار الذهبي تقريبًا”.
وفقًا لمهندس Signal على موقع Github، فإن الخطة هي استخدام واجهة برمجة التطبيقات Electron safeStorage. وهذا من شأنه أن يسمح لـ Signal باستخدام أنظمة التشفير الخاصة بكل نظام تشغيل لإضافة طبقة إضافية من الحماية لملف JSON حيث يتم تخزين المفتاح. وقال مهندس Signal على موقع GitHub: “هذا تغيير كبير سيتطلب الكثير من الاختبارات. سيبدأ طرحه قريبًا في إصدار تجريبي قادم وسيدخل مرحلة الإنتاج بعد ذلك بفترة وجيزة على افتراض أن كل شيء يسير على ما يرام”.
ولم تستجب شركة Signal لطلب Gizmodo للتعليق.
تتصدر المخاوف الأمنية المتعلقة بأجهزتنا أذهاننا في الوقت الحالي. فقد كشفت شركة AT&T للتو أن قراصنة تمكنوا من الوصول إلى قاعدة بياناتها في أبريل/نيسان وقاموا بتنزيل “كل” بيانات عملائها تقريبًا من الفترة بين مايو/أيار 2022 وأكتوبر/تشرين الأول 2022.