Чому акаунти користувачів Signal зламують (а не сам застосунок)

Шифрування Signal у порядку. Мішенню є його користувачі.

Signal давно здобув репутацію золотого стандарту приватного обміну повідомленнями. Його наскрізне шифрування математично бездоганне, код є відкритим, а протокол користується довірою дослідників безпеки з усього світу. Тому коли з'явилися повідомлення про те, що хакери, пов'язані з Росією, успішно зламують акаунти Signal, що належать відомим особам, закономірно виникає запитання: чи був зламаний сам Signal?

Коротка відповідь — ні. Шифрування Signal не було зламане. Було зламано щось значно складніше для усунення: людська довіра.

Згідно з повідомленнями, зловмисники використовують витончені фішингові кампанії, щоб обманом змусити користувачів Signal самостійно надати доступ до акаунта. Метод зазвичай передбачає підроблені сповіщення безпеки, які виглядають переконливо офіційно та спонукають цілі прив'язати новий пристрій до свого акаунта. Після цього зловмисник отримує живе дзеркало повідомлень жертви в режимі реального часу — не торкаючись серверів Signal і не зламуючи жодного рядка шифрування.

Це принципова відмінність. Застосунок — не вразливість. Вразливість — поведінка користувача.

Як насправді працює атака

Signal підтримує легітимну функцію під назвою «пов'язані пристрої», яка дозволяє користувачам отримувати доступ до свого акаунта одночасно з кількох телефонів або комп'ютерів. Зловмисники експлуатують цю функцію, генеруючи шкідливі QR-коди або посилання, які після сканування чи натискання непомітно додають пристрій зловмисника до акаунта жертви.

Фішингові повідомлення розроблені так, щоб створити відчуття терміновості. Вони можуть стверджувати, що акаунт користувача скомпрометовано, що потрібно підтвердити особу або що оновлення безпеки вимагає негайних дій. Важливі цілі, що перебувають під тиском, частіше діють швидко і рідше ретельно перевіряють запит.

Після прив'язки зловмиснику не потрібно нічого розшифровувати. Він просто читає повідомлення в міру їх надходження — у відкритому вигляді, так само, як і будь-який легітимний пов'язаний пристрій. Він також може видавати себе за жертву в поточних розмовах, що має серйозні наслідки для журналістів, активістів, юристів, державних службовців та всіх інших, хто працює з чутливими комунікаціями.

Цей вид атаки іноді називають атакою соціальної інженерії або захопленням акаунта через авторизований доступ. Він не вимагає ані експлойту нульового дня, ані злому сервера, ані криптографічної майстерності. Потрібна лише одна помилка цілі.

Що це означає для вас

Якщо ви користуєтеся Signal, бо вам важлива конфіденційність, ця новина не повинна змусити вас відмовитися від застосунку. Signal залишається однією з найнадійніших платформ обміну повідомленнями, а базове шифрування продовжує захищати повідомлення від перехоплення під час передачі. Проте ця ситуація нагадує: шифрування — лише один рівень захисту, а не вся система безпеки.

Думайте про це так: двері сейфа ефективні лише тоді, коли ніхто не передає ключ зловмиснику, який представляється слюсарем.

Для більшості звичайних користувачів ризик від цієї конкретної кампанії, пов'язаної з Росією, є низьким. Зазначені цілі — особи з високим профілем, найімовірніше люди, залучені до чутливої політичної, військової або журналістської діяльності. Але використовувані тактики не є екзотичними. Фішингові атаки з підробленими сповіщеннями безпеки поширені на всіх платформах, а функція пов'язаних пристроїв не є унікальною для Signal.

Свідомі щодо конфіденційності користувачі на будь-якому рівні ризику повинні ставитися до своїх застосунків для обміну повідомленнями так, як фахівці з безпеки ставляться до будь-якої чутливої системи: з багаторівневим захистом і постійною пильністю.

Практичні кроки для захисту вашого акаунта Signal

Ось що ви можете зробити просто зараз, щоб зменшити свою вразливість:

Регулярно перевіряйте пов'язані пристрої. У меню налаштувань Signal відображаються всі пристрої, наразі пов'язані з вашим акаунтом. Якщо ви бачите щось незнайоме — негайно видаліть це. Зробіть таку перевірку регулярною звичкою, а не одноразовою дією.

Ставтеся до сповіщень безпеки з глибоким скептицизмом. Легітимні застосунки рідко надсилають термінові повідомлення з проханням відсканувати QR-код або перейти за посиланням для підтвердження акаунта. За замовчуванням сприймайте будь-який такий запит як підозрілий — навіть якщо він виглядає офіційно.

Увімкніть блокування реєстрації Signal. Ця функція вимагає введення PIN-коду перед повторною реєстрацією акаунта на новому пристрої. Вона ускладнює спроби зловмисників захопити акаунт.

Захистіть сам пристрій. Шифрування Signal захищає повідомлення під час передачі. Якщо ваш телефон розблокований і переданий комусь або скомпрометований шкідливим програмним забезпеченням — цей захист перестає діяти. Надійні паролі пристрою, біометричне блокування та своєчасне оновлення операційної системи — все це має значення.

Зверніть увагу на загальну безпеку мережі. Для користувачів, які працюють зі справді чутливими комунікаціями, маршрутизація трафіку через надійний VPN додає рівень анонімності, який ускладнює зловмисникам профілювання вашої активності, визначення місцезнаходження або проведення розвідки, яка часто передує цілеспрямованому фішингу. VPN не вирішує проблему фішингу, але є частиною багаторівневого підходу, що зменшує загальну вразливість.

Перевіряйте через інший канал. Якщо ви отримали підозріле повідомлення навіть від відомого контакту — підтвердьте запит через абсолютно окремий канал: телефонний дзвінок, особисту розмову або інший застосунок — перш ніж вживати будь-яких заходів.

Урок цих фішингових атак на Signal полягає не в тому, що шифроване листування є марним. А в тому, що жоден окремий інструмент не є повним рішенням. Signal надзвичайно добре захищає ваші повідомлення. Захист вашого акаунта вимагає від вас пильності щодо способів, якими зловмисники намагаються обійти технологію, атакуючи безпосередньо вас.