Signal introduceert extra beveiligingsstappen om gebruikers te beschermen tegen phishing en social engineering. De berichtenapp toont voortaan een waarschuwingslabel bij onbekende contacten. Bij berichtverzoeken wordt ook expliciet aangegeven dat de chatapp nooit om gevoelige accountgegevens vraagt.
De ontwikkelaars hebben de nieuwe maatregelen bekendgemaakt via een bericht op X. Oplichters doen zich namelijk steeds vaker voor als officiële Signal-medewerkers. Dit doen ze om zo toegang te krijgen tot accounts van gebruikers. Met de nieuwe functies probeert Signal het voor de gewone user makkelijker te maken om zulke frauduleuze profielen te herkennen.
Dat is niet zonder reden, want eerder sloeg de FBI al alarm over grootschalige phishingaanvallen gericht op Signal-gebruikers. Daarbij worden slachtoffers verleid om valse QR-codes te scannen of verificatiecodes te delen. Daarmee kunnen aanvallers een eigen apparaat aan het account van een slachtoffer koppelen. Zo kunnen ze berichten meelezen zonder dat de gebruiker het doorheeft.
Wat verandert er voor gebruikers?
Concrete verandering nummer één is dat bij elk nieuw gesprek een nieuwe label verschijnt: Name not verified. Omdat gebruikers hun eigen gebruikersnaam kunnen kiezen, kan Signal niet controleren of iemand zijn echte naam gebruikt. Het label maakt dat zichtbaar.
Daarnaast krijgen gebruikers een extra waarschuwing bij berichtverzoeken te zien die van onbekenden afkomen. Signal benadrukt daarin dat alleen verzoeken van personen die je kent vertrouwd mogen worden. Volgens BleepingComputer richt deze aanpak zich specifiek op aanvallers die misbruik maken van de Linked Devices-functie van Signal. Door slachtoffers te verleiden een apparaat te koppelen, kunnen criminelen dus meelezen en communicatie overnemen.
Signal vraagt nooit om je codes
“Signal vraagt nooit naar registratiecodes, pincodes of herstelsleutels”, staat nu expliciet in de waarschuwingsmelding bij berichtverzoeken. Dat is een directe reactie op aanvalsvectoren waarbij nep-supportmedewerkers precies die gegevens proberen te ontfutselen.
De nieuwe stappen komen kort na een reeks andere updates. Zo introduceerde de chatapp in april al ledenlabels voor groepschats en ondersteuning voor oproepen voor grotere groepen. Tot slot is er aangekondigd, dat er in de toekomst nog meer beveiligingsverbeteringen worden doorgevoerd.