संचार ऐप कम से कम एक शीर्ष ट्रम्प प्रशासन के अधिकारी द्वारा उपयोग किए जाने वाले संदेशों को संग्रहीत करने के लिए उपयोग किए जाने वाले टेलीमेजेज सिग्नल को पहले ही कथित तौर पर उल्लंघनों का सामना करना पड़ा है जो सुरक्षा खामियों से संबंधित है और इसके परिणामस्वरूप इसकी मूल कंपनी ने इस सप्ताह एक सेवा को रोकने के लिए इस सप्ताह लंबित जांच को रोक दिया है। अब, के अनुसार विस्तृत नए निष्कर्ष पत्रकार और सुरक्षा शोधकर्ता मीका ली से, टीएम सिग्नल की संग्रह सुविधा सिग्नल की प्रमुख सुरक्षा गारंटी को मौलिक रूप से कमजोर करती है, ऐप और उपयोगकर्ता के संदेश संग्रह के बीच संदेश भेजती है, बिना एंड-टू-एंड एन्क्रिप्शन के, इस प्रकार उपयोगकर्ताओं के संचार को टेलीमेजेज के लिए सुलभ बनाती है।
ली ने ऐप के डिज़ाइन और सुरक्षा का आकलन करने के लिए टीएम सिग्नल के एंड्रॉइड सोर्स कोड का विस्तृत विश्लेषण किया। 404 मीडिया के सहयोग से, उनके पास था पहले रिपोर्ट किया गया था सप्ताहांत में टीएम सिग्नल की एक हैक पर, जिसमें कुछ उपयोगकर्ता संदेश और अन्य डेटा का पता चला – एक स्पष्ट संकेत कि कम से कम कुछ डेटा को अनएन्क्रिप्टेड भेजा जा रहा था, या प्लेनटेक्स्ट के रूप में, कम से कम कुछ समय सेवा के भीतर। यह अकेले टेलीमेजेज के विपणन के दावों का विरोध करने के लिए प्रतीत होता है कि टीएम सिग्नल “मोबाइल फोन से कॉरपोरेट आर्काइव के माध्यम से एंड-टू-एंड एन्क्रिप्शन प्रदान करता है।” लेकिन ली का कहना है कि उनके नवीनतम निष्कर्ष बताते हैं कि टीएम सिग्नल एंड-टू-एंड एन्क्रिप्टेड नहीं है और कंपनी उपयोगकर्ताओं की चैट की सामग्री तक पहुंच सकती है।
“तथ्य यह है कि प्लेनटेक्स्ट लॉग मेरी परिकल्पना की पुष्टि करते हैं,” ली ने वायर्ड को बताया। “तथ्य यह है कि संग्रह सर्वर किसी को हैक करने के लिए इतना तुच्छ था, और टीएम सिग्नल में बुनियादी सुरक्षा की इतनी अविश्वसनीय कमी थी, जो कि मेरी अपेक्षा से भी बदतर था।”
Telemessage एक इजरायली कंपनी है जिसने पिछले साल यूएस-आधारित डिजिटल संचार संग्रह कंपनी स्मारश द्वारा अपना अधिग्रहण पूरा किया। टेलीमेजेज एक संघीय ठेकेदार है, लेकिन उपभोक्ता एप्लिकेशन यह प्रदान करता है अननुमोदित अमेरिकी सरकार के संघीय जोखिम और प्राधिकरण प्रबंधन कार्यक्रम, या फेड्रैम्प के तहत उपयोग के लिए।
स्मारश ने ली के निष्कर्षों के बारे में टिप्पणी के लिए वायर्ड के अनुरोधों को वापस नहीं किया। कंपनी ने सोमवार को कहा, “टेलीमेजेज एक संभावित सुरक्षा घटना की जांच कर रहा है। पता लगाने पर, हमने इसे शामिल करने के लिए जल्दी से काम किया और हमारी जांच का समर्थन करने के लिए एक बाहरी साइबर सुरक्षा फर्म में लगे रहे।”
ली के निष्कर्ष सभी टेलीमेजेज उपयोगकर्ताओं के लिए महत्वपूर्ण हैं, लेकिन इसका विशेष महत्व है कि टीएम सिग्नल का उपयोग राष्ट्रपति डोनाल्ड ट्रम्प के अब-पूर्व राष्ट्रीय सुरक्षा सलाहकार माइक वाल्ट्ज द्वारा किया गया था। एक कैबिनेट बैठक के दौरान सेवा का उपयोग करके पिछले सप्ताह उनकी तस्वीर खींची गई थी, और फोटो यह दिखाते हुए दिखाई दिया कि वह अन्य उच्च-रैंकिंग अधिकारियों के साथ संवाद कर रहे थे, जिसमें उपाध्यक्ष जेडी वेंस, नेशनल इंटेलिजेंस तुलसी गैबार्ड के अमेरिकी निदेशक शामिल थे, और जो अमेरिकी राज्य के सचिव मार्को रुबियो प्रतीत होते हैं। टीएम सिग्नल सिग्नल के साथ संगत है और टीएम सिग्नल का उपयोग करके किसी के साथ चैट में भेजे गए संदेशों को उजागर करेगा, चाहे सभी प्रतिभागी इसका उपयोग कर रहे हों या कुछ वास्तविक सिग्नल ऐप का उपयोग कर रहे हों।
ली ने पाया कि टीएम सिग्नल को उपयोगकर्ता के डिवाइस पर एक स्थानीय डेटाबेस में सिग्नल कम्युनिकेशन डेटा को बचाने के लिए डिज़ाइन किया गया है और फिर इसे लंबे समय तक प्रतिधारण के लिए एक संग्रह सर्वर पर भेजें। संदेश, वे कहते हैं, सीधे संग्रह सर्वर पर भेजे जाते हैं, प्रतीत होता है कि ली द्वारा जांच किए गए मामलों में प्लेनटेक्स्ट चैट लॉग के रूप में। विश्लेषण का संचालन करते हुए, वे कहते हैं, “आर्काइव सर्वर की पुष्टि की गई है कि प्लेनटेक्स्ट चैट लॉग तक पहुंच है।”
हैक में टेलीमेजेज आर्काइव सर्वर से लिए गए डेटा में चैट लॉग, उपयोगकर्ता नाम और प्लेनटेक्स्ट पासवर्ड और यहां तक कि निजी एन्क्रिप्शन कुंजियाँ शामिल थीं।
में एक पत्र मंगलवार को, अमेरिकी सीनेटर रॉन वायडेन ने टेलीमेजेज की जांच करने के लिए न्याय विभाग से कहा, यह आरोप लगाते हुए कि यह “अमेरिकी राष्ट्रीय सुरक्षा के लिए एक गंभीर खतरा है।”
“सरकारी एजेंसियों ने टेलीमेजेज आर्चिवर को अपनाया है, उन्होंने सबसे खराब संभव विकल्प चुना है,” वायडेन ने लिखा है। “उन्होंने अपने उपयोगकर्ताओं को कुछ ऐसा दिया है जो सिग्नल की तरह दिखता है और महसूस करता है, सबसे व्यापक रूप से विश्वसनीय सुरक्षित संचार ऐप। लेकिन इसके बजाय, वरिष्ठ सरकारी अधिकारियों को एक घटिया सिग्नल नॉकऑफ प्रदान किया गया है जो कई गंभीर सुरक्षा और प्रतिवाद खतरों को दर्शाता है। टेलीमेजेज आर्चिवर द्वारा उत्पन्न सुरक्षा खतरा सैद्धांतिक नहीं है।”
