Óriási botrány robbant ki az Egyesült Államokban hétfőn, miután Jeffrey Goldberg, a The Atlantic főszerkesztője megírta: véletlenül bevették abba a csoportba a Signal nevű üzenetküldő platformon, ahol többek között Pete Hegseth védelmi miniszter, J. D. Vance alelnök, Michael Waltz nemzetbiztonsági tanácsadó és Stephen Miller, a Fehér Ház kabinetfőnök-helyettese tárgyalták meg a jemeni lázadók ellen indítandó támadás részleteit.

Az eset csúnyán ráégett a Trump-kormányzatra, az elnök kedd este – amikor új rendeleteket írt alá, és találkozott az új amerikai nagykövetekkel – a főszerkesztőt a csoportba meghívó Waltz társaságában próbált kitérni a záporozó újságírói kérdések elől. Melyek természetesen szinte kizárólag a Signal-botrányról szóltak.

Érdemi válaszok azonban nem érkeztek, bár Trump elmondta, hogy nem tud semmit az alkalmazásról. Ezt csak annyival egészítette ki, hogy véleménye szerint sokan használják, például a katonaság és a média is. (Előbbit ellenőrizni nehéz, utóbbi pedig csak részben igaz – a névtelenséget kérő forrásokkal folytatott kommunikációhoz inkább a Proton Mailt szokta használni a sajtó.)

Mint a Newsweek írja, az adminisztráció illetékesei az eset miatt egy perrel is szembenéznek, melyet az American Oversight nevű, pártokon felüli megfigyelőcsoport indított ellenük. A csoport azzal vádolja a tisztviselőket, hogy megsértették a közigazgatási eljárási és a szövetségi nyilvántartási törvényt is a Signal használatával.

S bár Trump – saját bevallása szerint – keveset tud a Signalról, van egy jó hírünk. Mire ennek a cikknek a végére ér, többet tudhat a csevegőprogramról, mint az amerikai elnök.

Mi az a Signal?

Alapvetően a Signal is egy olyan üzenetküldő alkalmazás, mint sok más társa, a Viber, a WhatsApp, vagy a jól ismert Messenger. Fontos különbség azonban, hogy nem egy nagy, nyereségérdekelt technológiai vállalat áll mögötte (mint mondjuk a Meta), hanem egy nonprofit szervezet, a Signal Technology Foundation.

A felszínen nagyon hasonlít a többi csevegőapphoz: lehet vele egyéni és csoportos beszélgetéseket folytatni (utóbbi miatt robbant ki a botrány), de hívásra is alkalmas, és még az Instagraméhoz hasonló, eltűnő történeteket is lehet publikálni. Nincsenek azonban hirdetések, valamint nyomkövetők (trackerek), és azt is be lehet állítani, hogy az üzenetek bizonyos idő után (30 másodperctől egy hétig terjedően) eltűnjenek. Erről a felhasználó dönthet – derül ki a CNN cikkéből.

A Signal azonban a biztonságot helyezi az előtérbe, és az összes rajta folytatott kommunikáció végpontok között titkosítva van. Ezt úgy képzelje el, mintha az üzeneten, amit küld a másiknak, lenne egy lakat – és hiába kapja el valaki, míg az a hálózaton keresztül utazik a másik fél készüléke felé, a megfelelő visszafejtési kulcs hiányában semmit nem tud kezdeni vele. Amint megérkezik a beszélgetőpartnere mobiljára/számítógépére, az azon lévő Signal kulcsa „nyitja” a csomagot.

Még maga a Signal (tehát maga a fejlesztő) sem férhet hozzá a privát kommunikációjához, mivel az csak a végpontokon, tehát a beszélgetésben részt vevő készülékeken nyitható meg, és ott is van eltárolva, nem szervereken. Kivételt csak az képez, ha a címzett eszköze átmenetileg offline van – kézbesítésig ilyen esetekben szervereken tárolja el a titkosított üzenetcsomagot a program.

Az üzeneteket a hatóságoknak sem tudja átadni a Signal, akkor sem, ha bírói végzés birtokában kérik őket erre. A Signal még egy úgynevezett „biztonsági számot” is rendel valamennyi személyhez, ami azt hivatott ellenőrizni, hogy az üzenet valóban a címzetthez jutott-e el.

Adódhat azonban a kérdés: ha már a Messenger is alapértelmezetten titkosítja a beszélgetéseket, miben tud kitűnni a Signal? Például, mint Daniel Kahn Gillmor technológiai szakember a CNN-nek korábban elmondta, más szolgáltatások a titkosítás ellenére is hozzáférhetnek bizonyos információkhoz. Ilyen például a kapcsolatai is, melyek a legtöbb szolgáltatás esetében nincsenek titkosítva.

Mint a BBC írja, a Signalnak a becslések szerint 40–70 millió aktív havi felhasználója lehet, ami egyébként jóval kevesebb, mint a versenytársaké. A brit közmédia a biztonság terén azt hangsúlyozza, hogy más platformokkkal szemben a Signal alkalmazása forráskódú, tehát némi programozói jártasság birtokában bárki ellenőrizheti, van-e abban valamilyen súlyos sebezhetőség, amit a hackerek kihasználhatnak.

Hogyan lehet használni?

Mint már említettük, ha használ más üzenetküldő platformokat, a gyakorlatban nagyon ismerős lesz a Signal működése is. Csak le kell töltenie az alkalmazást a Play Áruházból vagy az App Store-ból, és első megnyitás után el kell végeznie egy gyors regisztrációt – ehhez mindenképpen szükség van a telefonszáma megadására.

Az SMS-ben kapott ellenőrző kód beírása után csak meg kell adja a nevét, beállíthat profilképet, hozzáférést adhat a kontaktjaihoz (így azt is láthatja, ki aktív már a Signalon), és beállíthat egy négy számjegyből álló ellenőrzőkódot, ami segíthet visszaállítani a beszélgetéseit, ha bármi történne.

Így néz ki egy frissen létrehozott Signal-csoport

HVG

A telefonszámát egyébként elrejtheti a másikkal folytatott beszélgetésekben. A használat innentől egyszerű: egyértelmű jelölések segítik az új üzenetek vagy hívások indítását.

Ha biztonságos, mi a baj azzal, hogy az amerikai kormányzat is használja?

Először is: nemzetbiztonsági témák megvitatására jól bejáratott rendszerek vannak valamennyi kormányzat kezében. Ezekről nagyon keveset tud a nyilvánosság, és ez igazából így van jól – és nem érdemes kiindulni a különböző filmekben és sorozatokban látott megoldásokból, azok ugyanis csak a fantázia szüleményei.

És hiába biztonságos a Signal papíron, az adott esetben a világ sorsáról is döntő kérdéseket okkal szokás a korábban említett, kimondottan kormányzati fejlesztésű rendszereken megvitatni. A Signal ugyanis egy közhasználatú app, amit nem az adott ország szakemberei fejlesztettek és üzemeltetnek, így nincs is közvetlen rálátásuk a mögötte zajló folyamatokra.

A BBC cikke kitér rá, hogy egy köznapi mobilon keresztül folytatott kommunikáció csak annyira biztonságos, amennyire a felhasználója figyelmes. Tehát, ha egy rosszindulatú fél fizikailag meg tudja kaparintani a mobilt, és azon a Signal megnyitható – mert nincs beállítva a biometrikus vagy jelkódos azonosítás magához az alkalmazáshoz –, akkor a beszélgetésekhez hozzá lehet férni. És ez ellen a Signal semmit nem tud tenni, elvégre ez már a felhasználó hanyagsága.

Az ilyenek ellen egy kormányzati rendszer bizonyára jól – de legalábbis: jobban – fel van készítve, mint a bárki által hozzáférhető iOS vagy Android. Caro Robson adatszakértő, aki korábban dolgozott az amerikai kormányzatnak, elmondta: „nagyon, nagyon szokatlan”, hogy magas rangú biztonsági tisztviselők egy, a Signalhoz hasonló üzenetküldő platformot használnak. Szavai szerint a korábban említett, nagyon biztonságos kormányzati rendszereket szokás alkalmazni, rendkívül erős titkosítással védve – és azok az eszközök sem mozgathatók csak úgy, melyek ezeket futtatják.

Érdekes adalék a témához, hogy biztonság ide vagy oda, a botrány kirobbanása előtt néhány nappal maga a Pentagon figyelmeztetett arra, hogy a Signal orosz hackerek célpontja lehet – igaz, itt sem a platform titkosításával van gond, a problémát ugyanis felhasználói figyelmetlenség indíthatja el.

Az eset szereplőinek ráadásul amiatt is főhet a fejük, hogy a Signalban néhány üzenetet eltűnőre állítottak, így egy hét után végleg kámforrá válnak – ez pedig törvénysértő, mivel a tisztviselők kötelesek megőrizni az ilyen üzenetváltásokat.

Az ügy valószínűleg még sokáig napirenden marad, és ez lesz az egyik legnagyobb – és legérdekesebb – botrány az Egyesült Államokban. Az már tényleg csak hab a tortán, hogy mégis hogyan sikerült meghívni egy ilyen csoportos beszélgetésbe egy újságírót is – aki aztán az egész üzenetfolyamot zavartalanul követhette úgy, hogy senkinek nem tűnt fel a jelenléte.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.