Telemessage, Israelin ohjelmistoyritys, joka on äskettäin tunnistettu Trumpin hallinnossa käytetyn muokatun signaalin viestisovelluksen tarjoajaksi, on kärsinyt merkittävän turvallisuusrikkomuksen, hakkeri paljasti. href=”https://www.404media.co/the-signal-clone-t-trump-admin-uses-was-hacked/”Target=”_ tyhjä”> 404-media. Sovelluksen lähdekoodista löydetyt valtuutukset vain päivää ennen kuin hakkerointi tuli julkiseksi.
Yhdysvaltain vaatimustenmukaisuusteknologiayrityksen Smarshin hankkima Telemessage 20. helmikuuta ja nyt tuotteensa uudelleensijoittaminen”Capture Mobile”muuttaa suosittuja viestisovelluksia, jotta viestintätarpeet arkistoivat, kuten Yhdysvaltain liittovaltion kirjanpitolakien täyttäminen. Sen ydintarjontaan kuuluu suositun viestisovelluksen muokattujen “kloonien”luominen. Target=”_ tyhjä”> Microsoft 365 (mukaan lukien valtion pilvi-esiintymät) , sähköpostipalvelimet (SMTP) tai tiedostopalvelimet (SFTP), 3. toukokuuta . Lee löysi julkisesti saatavilla olevat latauslinkit TM SGNL Android-ja iOS-lähdekoodille Telemessagen omalla verkkosivustolla (`signal.zip` ja` Signal-ios-main.zip`). Tämä havainto, joka on tehty juuri ennen hakkerin ilmoittamista, tarjoaa uskottavan selityksen nopean järjestelmän kompromissille. Lähteiden saatavuuden valtuuttama AGPL V3-sovelluksen lisensoitu koodi sisälsi myös Git-historian, joka viittaa yksityiseen israelilaiseen Gitlab-palvelimeen (`tmgitlab.telemessage.co.il`).
Historia riskialttiiden kiertotapojen
Tämä tapaus ei ole ensimmäinen kerta, kun hallituksen viranomaiset ovat. Vuonna 2017 Confide-sovellus, jota on ilmoitettu käytettävän myös Trumpin hallinnossa ja jota markkinoitiin turvallisuuttaan, todettiin olevan vakavat virheet . Muokattujen kuluttajasovellusten tai kolmansien osapuolien palveluiden käyttö, jotka eivät välttämättä täytä SIPRNETin kaltaisten virallisten hallitusjärjestelmien tiukkoja turvallisuusstandardeja, varsinkin kun käsitellessään arkaluontoisia, vaikkakin ei ehkä muodollisesti luokiteltuja. Välitön poliittinen alue, joka korostaa systeemisiä riskejä kolmansien osapuolten vaatimustenmukaisuusratkaisuissa.
