Исследователи обнаружили, что самоуничтожающиеся сообщения в десктопном клиенте Signal для Mac при определенных условиях подлежат восстановлению. Для тех, кто не знает: самоуничтожающиеся сообщения в Signal хранятся ограниченное время, которое задает отправитель. По истечении этого срока сообщение удаляется, не оставляя и следа ни на сервере, ни на устройствах получателя и отправителя.

Первым на проблему клиента для macOS обратил внимание ИБ-специалист Алек Маффлетт (Alec Muffett). Он обнаружил, что сообщения, даже если они удалены из самого приложения, все равно можно прочесть.

#HEADSUP: #Security Issue in #Signal. If you are using the @signalapp desktop app for Mac, check your notifications bar; messages get copied there and they seem to persist — even if they are "disappearing" messages which have been deleted/expunged from the app. pic.twitter.com/CVVi7rfLoY

— Alec Muffett (@AlecMuffett) May 8, 2018

Более подробный анализ данной проблемы опубликовал еще один ИБ-специалист, Патрик Вордл (Patrick Wardle). Исследователь объясняет, что копии самоуничтожающихся сообщений (или частей сообщений, если те были длинными) сохраняются в БД операционной системы, а именно Центра уведомлений (Notification Center), откуда могут быть прочитаны даже после удаления в самом Signal.

Таким образом, если пользователь macOS включил отображение уведомлений для Signal, ОС будет хранить все доставленные уведомления, включая отрывки самоуничтожающихся посланий. В итоге просмотреть уже исчезнувшие из Signal сообщения можно либо напрямую через UI Центра уведомлений (если пользователь еще не закрыл их вручную), либо найти копии сообщений в SQLite БД Notification Center, доступ к которой можно получить с привилегиями обычного пользователя.

Теперь специалисты рекомендуют разработчикам мессенджера пересмотреть работу с уведомлениями для самоуничтожающихся посланий. Так, по мнению Патрика Ворлда, Signal для macOS либо не должен отображать уведомления для  таких сообщений вовсе, либо должен корректно стирать их копии из БД после удаления из приложения.

Теги: CSS, можно либо если уведомлений сообщений