Twoje konto na Signal jest bezpieczne? Uwaga na kody SMS!

Signal od lat uchodzi za bastion prywatności i bezpieczeństwa, ale niemiecki Federalny Urząd Bezpieczeństwa Informacji (BSI) wydał właśnie pilne ostrzeżenie, które powinno otrzeźwić wielu użytkowników. Eksperci wykryli podatność, która zagraża bezpieczeństwu.

Hakerzy nie łamią szyfrowania aplikacji, lecz wykorzystują słabość samego procesu rejestracji.

Metoda działania napastników opiera się na klasycznej socjotechnice połączonej z tzw. smishingiem (SMS phishing). Ofiara otrzymuje wiadomość - często z przejętego już konta znajomego lub współpracownika - z prośbą o pomoc w „odblokowaniu dostępu” lub  „weryfikacji konta”.

W rzeczywistości atakujący próbuje zarejestrować numer ofiary na swoim urządzeniu i potrzebuje do tego sześciocyfrowego kodu weryfikacyjnego, który Signal wysyła SMS-em na telefon użytkownika. Jeśli ofiara poda ten kod, haker natychmiast przejmuje kontrolę nad jej kontem.

Skutki takiego ataku są dewastujące. Choć napastnik nie zyska dostępu do archiwalnej historii rozmów (ta jest przechowywana lokalnie na urządzeniu), może od tego momentu podszywać się pod ofiarę w istniejących grupach i nowych konwersacjach. Pozwala to na wyłudzanie tajemnic, poufnych danych czy zainstalowanie złośliwego oprogramowania u kolejnych osób z kręgu zaufania.

BSI podkreśla, że jedyną skuteczną obroną jest aktywacja funkcji „Blokada rejestracji” (Registration Lock) w ustawieniach prywatności Signala. Funkcja ta nakłada dodatkowy kod PIN, bez którego ponowna rejestracja konta na nowym urządzeniu jest niemożliwa, nawet jeśli haker posiada kod z SMS-a.