Oeps: Signal voor Mac laat berichten niet altijd verdwijnen

Signal for Mac beveiligingslek

Het probleem is ontstaan door het Berichtencentrum in macOS. Deze neemt de berichten vanuit Signal over en bewaart ze, waardoor ze ook op langere termijn nog terug te halen zijn. In de app is de tekst wel verdwenen. Onderzoeker Alec Muffett ontdekte dat het Berichtencentrum op de Mac de inhoud van de berichten laat zien, ook als de tijdslimiet is verlopen. Als gebruiker zul je op het kruisje (x) moeten tikken om de notificatie echt te laten verdwijnen.

Maar er is nog meer aan de hand. Een andere onderzoeker, Patrick Wardle, ontdekte dat het Berichtencentrum op de Mac gebruik maakt van een SQLite-database. Berichten die naar Signal zijn gestuurd worden daarin opgeslagen, inclusief de inhoud van het bericht. Daardoor is de tekst ook op een later moment terug te vinden, zelfs als de notificatie is weggeklikt. Ben je hierover bezorgd, dan kun je het beste alle berichtgeving voor Signal op de Mac uitschakelen. Het nadeel is echter dat je geen controle erover hebt wat de ontvanger van een bericht doet. Laat deze de notificaties aan staan, dan blijft jouw bericht lokaal bewaard op de Mac van de ontvanger, terwijl je wilde dat niemand ‘m na een bepaald tijdstip meer zou kunnen zien.

Signal voor iOS heeft op het eerste gezicht geen last van het probleem. Het lijkt erop dat het Berichtencentrum de berichten verwijdert zodra ze zijn bekeken in de app. Of ze ook nog ergens lokaal op het toestel worden opgeslagen is een kwestie die de onderzoekers nu aan het bekijken zijn. Het is de vraag of Signal het probleem zelf kan oplossen of dat Apple de werking van het Berichtencentrum veiliger moet maken. Ook vragen we ons af waarom Apple de notificaties langere tijd bewaart: als ze eenmaal bekeken zijn (of niet relevant meer zijn) heeft het immers geen zin om ze nog langer op te slaan.