Gizlilik odaklı kullanıcıların favori uygulamalarından biri olan Signal, ABD'de Federal Soruşturma Bürosu'yla (FBI) ilişkili bir olay nedeniyle gündemde.
Signal uçtan uca şifreleme protokolünü geliştirmesiyle tanınıyor. Ancak FBI'ın, normalde uçtan uca şifreli olan Signal mesajlarını silinmiş oldukları halde bir şüpheliye ait telefondan okuyabildiği yönündeki iddialar tartışma yarattı.
Zira bu sistemde mesajları yalnızca gönderen kişinin ve alıcının görebilmesi gerekiyor. Üstelik mesajlar belirli bir süre sonra otomatik olarak siliniyor ve 404 Media'nın aktarımına göre, kullanıcı uygulamayı telefonundan kaldırmıştı.
Şifreleme değil, bildirimler zayıf halka
İddiaya göre FBI, mesajlara doğrudan Signal üzerinden değil, iPhone cihazdaki bildirim veritabanından ulaştı.
Mesajlar, telefon ekranında “push notification” (anlık bildirim) olarak göründüğünde, aslında şifreleme zincirinin dışında kalıyor. Bu da üçüncü tarafların bu bildirim verilerine erişebilmesi durumunda mesaj içeriğinin okunabilmesine yol açabiliyor.
Bu durum yalnızca Signal’e özgü değil. Bildirimlerde mesaj içeriğini gösteren tüm uygulamalar için geçerli bir risk.
Basit bir ayarla önlem almak mümkün
Aslında bu açık, uygulama içindeki basit bir ayarla kapatılabiliyor. Signal’in ayarlar menüsünde “Bildirimler” bölümüne girip “Bildirim içeriği” seçeneğinden “İsim veya içerik gösterme” ayarı seçildiğinde, gelen mesajların içeriği bildirimlerde görünmüyor.
Bu durumda kullanıcıya bildirim gelmeye devam ediyor ancak mesajın ne olduğu yalnızca uygulama açıldığında görülebiliyor. Böylece bildirimler üzerinden veri sızdırılması riski ortadan kalkıyor.
'Varsayılan ayar olmalı'
Öte yandan bazı uzmanlar, bu güvenlik önleminin kullanıcılar tarafından manuel olarak açılması gerekliliğinin bir zafiyet olduğunu savunuyor.
Birçok yorumcu, bu ayarın varsayılan olarak açık olması gerektiğini dile getiriyor.
