Derzeit wird über den #Signal #Messenger und die Bedenken bezüglich der Desktop-Version berichtet. Es wird befürchtet, dass lokal gespeicherte Daten im Desktop-Client leicht zugänglich und kopierbar sind. Stimmt - und zwar schon seit 2015! Das ist nichts Neues, sondern Clickbait. 👇
Zitat: "We're not going to be adding any local access control or protection. You can use Chrome profiles, full disk encryption, and a screenlock."
Dies gilt übrigens auch für andere Messenger. Aber wenn ein Angreifer lokalen Zugriff hat, bedeutet das sowieso: Game Over. 👾
Was man tun kann:
- Festplatte vollständig verschlüsseln
- Screen-Lock nutzen
- Sicheres Entsperr-Passwort nutzen/System-Authentifizierung via Sicherheitstoken oder Smartcard
- Immer mitdenken 🧠
@kuketzblog Insgesamt ist das Dateisystem der gängigen Desktop OSe nicht sonderlich gut geschützt. Hier sind die Mobile OSe deutlich besser.
Es hilft also auf dem Desktop nicht gegen Software, die kurzzeitig Zugriff aufs Dateisystem hat. Z.B. irgendwelche rogue npm Pakete, die beim Installieren lustigen Code ausführen oder anderweitige Executables, die man als User mal kurz ausführt. We've all been there, "Mitdenken" ist hier nur begrenzt anwendbar. Daher ist IMO Full Disk Encryption oder auch Screen Locking nicht die Antwort.
Dagegen wiederum hilft die Verschlüsselung der Messengerdatenbank dann schon, wenn der Key nicht direkt daneben liegt. #Threema Desktop (sowohl 1.0 als auch 2.0) schützen z.B. sämtliche Daten mit Keys, welche beim Start der App aus einem Passwort abgeleitet werden. Ohne Passwort kein Zugriff. Das hat IMO einen klaren Mehrwert, da es gezielterer Angriffe bedarf, als nur das Wegkopieren, um an den entsprechenden Key zu gelangen.
@kuketzblog Wer als Developer nicht hin und wieder mal npm install, cargo build oder irgendein anderes Tool verwendet, welches Dependencies nachlädt ohne dabei ein isoliertes Environment zu verwenden, werfe den ersten Stein.
In anderen Branchen wird das noch viel schlimmer aussehen.
Kuketz-Blog 🛡
Lenny