A Trump-kormányzat lekicsinyelte a biztonsági rést, és "két hónap alatt az egyetlen hibának" minősítette. Ez tévedés. Újságírók és aktivisták számára a Signal tökéletesen biztonságos. Államtitkokat kezelő kormányzati vezetők számára már kevésbé.
A Signal üzenetküldő alkalmazás azután került reflektorfénybe, hogy egy újságírót hozzáadtak az amerikai nemzetbiztonsági tisztviselők csoportos csevegéséhez, amikor a jemeni húszi célpontok elleni támadási terveket egyeztették.
Donald Trump amerikai elnök a kiszivárgást "hibaként" bagatellizálta, míg Tulsi Gabbard, a nemzeti hírszerzés igazgatója szerint nem osztottak meg titkosszolgálati információkat a chatben.
A The Atlantic főszerkesztője, Jeffrey Goldberg, a chatbe véletlenül meghívott újságíró azóta további üzeneteket tett közzé, amelyekből egyértelműen kiderül a kiszivárgott információk érzékenysége.
Ezekben az üzenetekben Pete Hegseth védelmi miniszter részletes terveket ismertet a jemeni célpontok elleni csapásokról, beleértve az időzítést és a használt fegyvereket is.
Mike Waltz nemzetbiztonsági tanácsadó közölte, hogy "teljes felelősséget" vállal a baklövésért. A The Atlantic által közzétett képernyőképek szerint Waltz volt az a felhasználó, aki Goldberget hozzáadta a chathez.
A botrány kérdéseket vet fel azzal kapcsolatban, hogy miért egy kereskedelmi alkalmazást használtak potenciálisan kompromittáló információk megvitatására, és hogyan került egy újságíró a chatbe, látszólag tévedésből?
Mi az a Signal?
A Signal egy üzenetküldő alkalmazás, amelyet a piacon az egyik legbiztonságosabbnak tartanak. Közvetlen üzenetküldésre, csoportos csevegésre, valamint hang- és videohívásokra használható.
Tulajdonosa egy non-profit csoport, a Signal Foundation, amely szerint küldetése, hogy "biztonságos globális kommunikációt tegyen lehetővé nyílt forráskódú adatvédelmi technológiával".
A non-profit Lawfare szerint 2024-ben világszerte 70 millió felhasználója volt, tehát nem olyan széles körben használt alkalmazás, mint a versenytársak, például a WhatsApp és az Apple iMessage.
A felhasználói fiókok regisztrálása és kezelése a felhasználó mobiltelefonszámával történik, amely az egyetlen személyes adat, amelyet a Signal tárol.
Ez azt jelenti, hogy amikor tagokat adunk hozzá egy csoportos csevegéshez, ahogyan azt feltételezhetően Michael Waltz vagy a csapatának egy tagja tette Goldberg hozzáadásakor, megjelenik a felhasználók aktív Signal-fiókkal rendelkező mobilkapcsolatainak listája.
Feltételezhető, hogy Waltz esetében ez a lista tartalmazhatta Goldberget, annak ellenére, hogy szerdán a Fox Newsnak azt mondta: "100 százalékig állíthatom, hogy nem ismerem ezt a fickót".
Mennyire biztonságos?
A Signal a végponttól végpontig terjedő titkosítás (E2EE) egy olyan formáját használja, amely robusztusabb, mint a versenytársaké.
A titkosítás azt jelenti, hogy elvileg az egyik felhasználótól a másiknak küldött üzenetekhez harmadik fél nem férhet hozzá a kettő között, még maga a platform sem. Csak az üzenet feladója és címzettje rendelkezik az üzenet dekódolásához szükséges kulccsal.
A nyílt forráskódú Signalon a titkosítás alapértelmezés szerint be van kapcsolva. Ez eltér például a Telegramtól, ahol az E2EE a platform számos legnépszerűbb funkciójában nincs engedélyezve.
"A Signal a legjobb dolog, amit újságíróként vagy aktivistaként kaphatsz" - mondta az Euronewsnak Bart Preneel, a belga KU Leuven kriptográfusa és professzora, aki szerint "egyértelműen ez az egyik legjobb" applikáció. "De a leggyengébb pont maga az eszköz" - tette hozzá.
"Feltételezhetjük, hogy a nemzetállamoknak hatalmukban áll feltörni a mobilkészülékeket, és így hozzáférni az ilyen kommunikációhoz. Ezért a kormányzati tisztviselőknek általában külön erre a célra szolgáló készülékeik vannak, amelyeket használniuk kell".
Lehet, hogy a csoportos csevegést feltörték?
Preneel az amerikai tisztviselők Signal-botrányát "súlyos kudarcnak" minősítette: "Ezeknek az embereknek tudniuk kellett volna, hogy nem szabad nem dedikált eszközöket használniuk."
A CBS News járatkövetési elemzése szerint Trump ukrajnai és közel-keleti megbízottja, Steve Witkoff valószínűleg Moszkvában tartózkodott, amikor bekerült a csoportos csevegésbe.
Witkoff március 13-án utazott Oroszországba, hogy Vlagyimir Putyin orosz elnökkel tárgyaljon az ukrajnai tűzszüneti megállapodásról. A CBS kutatása szerint a chatbe körülbelül 12 órával a moszkvai landolás után került be.
Az Euronews megkérdezte Bart Preneelt: növelhette-e a biztonsági kockázatot az a tény, hogy Witkoff Oroszországban tartózkodott?
- mondta Preneel, hozzátéve, hogy egy másik "erőltetett, de nem lehetetlen" módszer, amellyel egy külföldi állam hozzáférhet az ilyen kommunikációhoz, az elektromágneses sugárzás rejtett használata, hogy egy antennán keresztül felvegyék a készülék jeleit. Ez lényegében lehetővé teszi számukra, hogy rögzítsenek minden tevékenységet egy eszköz képernyőjéről.
Miért népszerű a Signal, és használják-e a kormányok?
Az üzenetküldő alkalmazás népszerű az újságírók körében. Az Euronews újságírói például a biztonsági kockázatok minimalizálására használják, amikor a forrásokkal kommunikálnak. Másként gondolkodók is előszeretettel használják, akik szeretnék elkerülni a kormányzatok szaglászását.
2020 elején az Európai Bizottság azt tanácsolta a munkatársainak, hogy a biztonsági intézkedések részeként kezdjék el használni a Signal alkalmazást.
Tavaly közzétett jelentésében az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség is arra ösztönözte a kormányzati tisztviselőket, hogy térjenek át a végponttól végpontig titkosított kommunikációs alkalmazásokra, például a Signalra.
Az Associated Press nemrég megállapította, hogy mind az 50 államban több mint 1100 kormánytisztviselő használja a Signal-t. A hónap elején azonban a Pentagon egy, az NPR által látott feljegyzés szerint figyelmeztette a munkatársait, hogy ne használják az üzenetküldő alkalmazást még a nem titkosított információk megosztására sem.
A március 18-i keltezésű feljegyzés szerint "sebezhetőséget azonosítottak a Signal Messenger alkalmazásban", ugyanis "orosz professzionális hackercsoportok használják a 'kapcsolt eszközök' funkciót a titkosított beszélgetések kikémlelésére".
Az amerikai védelmi minisztérium 2023-as feljegyzése a Signal-t szintén "nem felügyelt" alkalmazásnak minősíti, amely nem jogosult "nem nyilvános DoD-információk elérésére, továbbítására vagy feldolgozására".