- Từ bức ảnh chụp điện thoại của nhân vật trong chính quyền Trump, Mike Waltz, đã lộ ra cảnh ông sử dụng một ứng dụng có vẻ là Signal không chính thức dùng để lưu trữ tin nhắn
- Waltz là Cố vấn An ninh Quốc gia Mỹ cho đến thứ Năm, làm dấy lên thêm câu hỏi về việc các quan chức đang thảo luận loại thông tin ở cấp độ nào trên Signal
- Bức ảnh của Reuters ghi lại cảnh Waltz kiểm tra điện thoại trong cuộc họp nội các tại Nhà Trắng do Donald Trump chủ trì
- Trên màn hình được cho là có thể nhìn thấy tin nhắn của các quan chức cấp cao trong chính phủ như JD Vance, Tulsi Gabbard và Marco Rubio
- Ở cuối màn hình có dòng chữ trông giống thông báo xác minh PIN của Signal thông thường, khiến cả cách ngăn chặn chiếm đoạt tài khoản lẫn phương thức lưu trữ tin nhắn đều trở thành tâm điểm chú ý
Việc sử dụng Signal không chính thức bị lộ qua ảnh
- Trong ảnh chụp điện thoại của Mike Waltz, người ta phát hiện cảnh ông dùng một ứng dụng có vẻ là phiên bản không chính thức của Signal
- Phiên bản này được cho là ứng dụng được thiết kế với mục đích lưu trữ tin nhắn
- Waltz là National Security Advisor của Mỹ cho đến thứ Năm
Bối cảnh của bức ảnh Reuters
- Bức ảnh do Reuters công bố ghi lại cảnh Waltz kiểm tra điện thoại trong cuộc họp nội các do Donald Trump tổ chức tại Nhà Trắng
- Trên màn hình có thể nhìn thấy tin nhắn của nhiều quan chức cấp cao trong chính phủ
- JD Vance
- Tulsi Gabbard
- Marco Rubio
Thông báo PIN của Signal và bối cảnh bảo mật
- Ở cuối màn hình điện thoại của Waltz có dòng chữ trông giống thông báo xác minh PIN của Signal thông thường
- Thông báo xác minh PIN của Signal có thể xuất hiện khi ứng dụng nhắc người dùng ghi nhớ PIN
- PIN có thể được dùng để ngăn người khác chiếm đoạt tài khoản
Những câu hỏi thực tế còn lại
- Nếu phiên bản Signal không chính thức được dùng để lưu trữ tin nhắn, thì vấn đề cốt lõi là các quan chức đang thảo luận loại thông tin ở cấp độ nào trên ứng dụng này
- Cách dữ liệu được lưu trữ sẽ được xử lý bảo mật như thế nào cũng vẫn là điểm cần được làm rõ
1 bình luận
Ý kiến trên Hacker News
https://archive.ph/oXYXe
Các cơ quan chính phủ trước đây cũng từng trả tiền cho các phiên bản trình nhắn tin mã hóa có kèm chức năng lưu trữ. Năm 2021, CBP đã trả 700.000 USD cho Wickr.
Những việc như thế này trông đúng là trường hợp sử dụng rất phù hợp để hỗ trợ Signal. Các tập đoàn lớn hoặc cơ quan chính phủ chỉ cần trả tiền trực tiếp cho nhà phát triển ứng dụng để làm một bản fork tùy chỉnh, vậy không hiểu vì sao TeleMessage lại là bên nhận tiền. Có phải Signal Foundation không tạo điều kiện dễ dàng cho việc triển khai các bản fork trả phí không?
“TM SGNL” có vẻ chỉ phần mềm của một công ty tên TeleMessage. Công ty này tạo các bản sao của những ứng dụng nhắn tin phổ biến và thêm chức năng lưu trữ vào từng ứng dụng.
Nếu dùng Signal mà lại để một công ty nước ngoài chặn bắt liên lạc thì không hiểu còn ý nghĩa gì. Có lẽ họ muốn UX của một sản phẩm thương mại thay vì trải nghiệm người dùng cục mịch của ứng dụng được chính phủ phê duyệt, nhưng có ai biết phương án thay thế khi đó là gì không?
Signal được phê duyệt cho mục đích chính phủ, nhưng không dùng cho thông tin không công khai của Bộ Quốc phòng. Có thể dùng Signal cho mức “đến SCIF đi, vào đó ta bàn chi tiết”, còn nội dung chi tiết phải được thảo luận trong môi trường bảo mật.
CISA khuyến nghị dùng các dịch vụ mã hóa đầu cuối thay thế, và đặc biệt nêu đích danh Signal.
https://investigations.cooley.com/2025/01/15/federal-law-enf...
Rốt cuộc Signal cũng chỉ là một ứng dụng trên điện thoại. Nếu dùng nó cho liên lạc bí mật, điện thoại đó nên có càng ít phần mềm càng tốt, hoặc tốt nhất là không có gì khác, và phải được bảo vệ bằng mật khẩu, mã hóa cùng mọi biện pháp khả thi.
Không chắc có cần chấp nhận lỗ hổng bảo mật chỉ để lưu trữ hay không. Dù sao thì nếu yêu cầu Israel và Pegasus, chắc cũng lấy được bản lưu trữ mà.
Nhìn vào một vài chi tiết, TeleMessage từng là, hoặc hiện vẫn là, một công ty Israel [1], nhưng năm ngoái đã được công ty Mỹ Smarsh [2] mua lại, và bản thân Smarsh cũng là công ty con của K1 Investment Management, một công ty Mỹ. Không rõ công ty đã chuyển đi hay chưa.
Có thể không liên quan trực tiếp, nhưng trong điều khoản dịch vụ cũng thấy có điều khoản riêng về nhắn tin tại Trung Quốc và dường như bao gồm cả việc tiết lộ cho chính phủ Trung Quốc. Không rõ ứng dụng hoạt động thế nào. Nó được quảng bá như một fork của client Signal và có vẻ tải mọi thứ lên máy chủ từ xa; như vậy thì tất nhiên mã hóa đầu-cuối sẽ bị phá vỡ, trừ khi coi kho lưu trữ là một đầu nhận và xem kết nối đó là an toàn. Có vẻ họ cũng quảng bá giao diện giống Signal.
Nhưng cả client Signal trên iOS lẫn Android đều dùng AGPLv3. Tôi không tìm thấy dấu hiệu nào cho thấy client TeleMessage không phải phần mềm độc quyền. Vậy theo AGPLv3, họ chỉ cung cấp phần mềm và mã nguồn cho khách hàng trả phí, rồi khách hàng được phép phân phối lại? Họ đã triển khai lại hoàn toàn client? Hay đây là một fork độc quyền bất hợp pháp? Khả năng đầu tiên có vẻ thấp, còn hai khả năng sau thì khá đáng ngại về mặt bảo mật ứng dụng.
[1]: https://en.wikipedia.org/wiki/TeleMessage
[2]: https://en.wikipedia.org/wiki/Smarsh
Ít nhất GPLv2 thường được mô tả là thân thiện với doanh nghiệp theo kiểu các sửa đổi “riêng tư” vẫn là riêng tư, và nhân viên không được xem là bên phân phối ra ngoài. AGPL thì tôi không rõ.
Trước đây tôi từng làm ở một công ty bán giải pháp phần mềm tùy chỉnh dùng phần mềm GPL cho khách hàng liên quan đến quân đội, có lẽ phía DOD. Hơn 10 năm không ai yêu cầu mã nguồn, mãi vài năm trước mới có người yêu cầu. Có lẽ họ định đánh giá, nhưng đó là thứ được dùng làm lõi cho nhiều nghiệp vụ nên nếu muốn fork hẳn sẽ khá vất vả. Nó có rất nhiều bộ phận chuyển động.
Chừng nào chưa có ai tiếp xúc với máy chủ TM SGNL rồi yêu cầu mã nguồn mà bị từ chối, thì chưa bất hợp pháp.
Điều thực sự hơi đáng sợ là Global Relay nhận mọi thứ qua SMTP. Tôi chưa kiểm tra họ có thiết lập DNSSEC hay MTA-STS không, nhưng nhìn cách Global Relay vận hành thì có vẻ không. Chỉ cần một proxy được đặt đúng chỗ hoặc đầu độc DNS cũng có thể hút được một lượng đáng kể email nhạy cảm gửi tới Global Relay.
Ứng dụng có vẻ là cái này
https://www.telemessage.com/how-to-install-and-register-sign...
Tôi thật sự tò mò tin nhắn JD gửi, “đã nhận được xác nhận từ phía bên kia rằng nó đã bị tắt”, nghĩa là gì.
Khoan đã, thứ họ đang dùng là một ứng dụng nhái Signal do các sĩ quan tình báo Israel vận hành à?
Có vẻ phần này vẫn chưa được biết đến đúng mức. Nếu tìm địa chỉ công ty đó trên Google Maps thì thực tế hiện ra một công ty tên “Cyberint”, trông rất không ổn.
https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
Tệ hơn nữa là xem phần giới thiệu đội ngũ trên website công ty thì đầy những người có vẻ là sĩ quan tình báo Israel “từng phục vụ”, bao gồm cả CEO.
https://www.telemessage.com/team/
Chuyện này có vẻ lớn hơn rất nhiều so với những gì hiện được biết. Lớn hơn Signalgate ban đầu vài bậc độ lớn. Hàm ý ở đây là các sĩ quan tình báo Israel có thể đã có quyền truy cập tốt nhất thế giới hiện nay: nguồn cấp thời gian thực của mọi cuộc trò chuyện có Cố vấn An ninh Quốc gia Mỹ tham gia.