Signal遭黑客攻擊反而證明其安全性

在本月15日Signal團隊報告有用戶的messenger遭不明黑客攻擊,以重視用戶私隱見稱的Signal非但沒有因為事件而喪失威名,反而更加突顯Signal對比其他messenger的優點,以下將為大家解釋當中的原因。

事件源由

根據Signal發表的聲明,攻擊影響大約1900個應用程式用戶,在Signal每月4000萬活躍用戶之中佔其極少數,但公司依然公佈事件,突顯出其重視用戶私隱的態度。而攻擊的結果是,黑客能夠在其他裝置登入受害者的帳號,或找出某用戶或某電話號碼使用Signal,而在這1900個個案之中,攻擊者對其中3個特別有興趣,Signal也被至少其中一人通知他們的帳號被他人在其他裝置上啟動。

事件細節

Signal一句被業界認為是安全的messenger,這次黑客攻擊成功,是否動搖其地位?且看看攻擊的真實情況和Signal在當中扮演怎樣的角色!首先看看Signal的帳號,其他競爭對手例如WhatsApp和Telegram都連住電話號碼,這種做法相當普遍,但也並非全部同業都跟隨,例如Threema就以帳號不連住電話號碼作為賣點,而Signal與電話號碼之間只是驗證的關係,用戶輸入他們的電話號碼,一組編碼會發送到該號碼,必需輸入正碼編碼以核實用戶真的擁有該電話號碼。

而這組一次性編碼是由專門的公司提供,在此事件Signal的供應商為Twilio,也是被黑客瞄準的目標,下一步便是網絡釣魚,部份Twilio員工收到要求更新舊密碼的訊息,並請他們點擊釣魚連結進行更新,其中有一位員中上釣,在假網站內輸入了他們的登入憑證,資料直接落入黑客手中。

這些憑證讓黑客能存取Twilio的內部系統,讓他們向用戶發送訊息,也能夠閱讀訊息,黑客然後利用服務去新裝置上安裝Signal,他們輸入受害者的電話號碼,截取啟動的短訊,然後把一次性編碼輸入到他們的Signal帳號。

事件證明Signal可靠

事件證明即使是Signal也不能免疫於這類事故,然而這次的事件更顯示Signal的保安和私隱防護可靠。首先,網絡犯罪份子並沒有存取訊息,Signal透過Signal Protocol進行end-to-end加密,這種加密方式下,訊息只會存放在通訊者的裝置內,而不在Signal的伺服器或其他地方,因此,黑客無法透過入侵Signal的基建來讀取訊息。

存放在Signal伺服器的只有用戶的電話號碼和他們的通訊錄內的號碼,這讓messenger能通知用戶誰人開始使用Signal,然而這些資料並非以純文字方式儲存,而是以散列代碼的方式,儲存在名為secure enclaves的位置,即使是Signal的開發者也無法存取,這種機制令攻擊者無法存取用戶的通訊列。

最後,這次事件可以視為供應鏈攻擊,黑客向較少防護的服務供應商下手,不過Signal也有防護的對策,應用程式設有一個功能叫Registration Lock(Settings > Account > Registration Lock),它會要求用戶設定PIN,當在新裝置上啟動Signal時需要輸入它。Registration Lock預設為關閉,在這次被入侵的個案中,至少一個因此而受影響,網絡犯罪份子花了大約13小時成功冒充受害者,不過如果啟動了這個功能,攻擊者便無法成功。

進一步防護訊息

事件的結論是,黑客並沒有入侵Signal,而是她的合作伙伴Twilio,他們能存取1900個帳號,結果登入了其中3個,但並沒有取得通訊內容或通訊錄,只能夠冒充有關的用戶,如果用戶事先開啟了Registration Lock,黑客便無法有機可乘。如果想更加安全,可以參考以下做法:

  • 啟動Signal設定內的Registration Lock,令網絡犯罪份子在不知道PIN的情況下無法登入你的帳號。
  • 參考Kaspersky關於Signal私隱和安全的設定,進一步提升應用程式的安全性。
  • 在智能電話安裝可靠的保安應用程式,防範惡意程式的入侵。

資料來源:Kaspersky Blog