- จากภาพโทรศัพท์มือถือของ Mike Waltz พบฉากที่ดูเหมือนกำลังใช้ Signal เวอร์ชันไม่เป็นทางการ สำหรับเก็บบันทึกข้อความ
- Waltz ดำรงตำแหน่ง ที่ปรึกษาความมั่นคงแห่งชาติสหรัฐฯ จนถึงวันพฤหัสบดี และยิ่งทำให้เกิดคำถามว่าบรรดาเจ้าหน้าที่รัฐพูดคุยข้อมูลระดับใดกันบน Signal
- ภาพจาก Reuters แสดงให้เห็นว่า Waltz กำลังดูโทรศัพท์ระหว่าง การประชุมคณะรัฐมนตรีที่ทำเนียบขาว ซึ่งมี Donald Trump เป็นประธาน
- บนหน้าจอปรากฏข้อความจาก เจ้าหน้าที่รัฐบาลระดับสูง เช่น JD Vance, Tulsi Gabbard และ Marco Rubio
- ด้านล่างของหน้าจอมีข้อความที่ดูเหมือน ข้อความยืนยัน PIN ของ Signal ทั่วไป ทำให้ทั้งประเด็นการป้องกันการยึดบัญชีและวิธีการเก็บบันทึกข้อความได้รับความสนใจไปพร้อมกัน
การใช้ Signal แบบไม่เป็นทางการที่ถูกเปิดเผยจากภาพถ่าย
- ในภาพโทรศัพท์ของ Mike Waltz มีการจับภาพการใช้งานแอปที่ดูเหมือน Signal เวอร์ชันไม่เป็นทางการ
- เวอร์ชันนี้เป็นที่รู้กันว่าออกแบบมาเพื่อ เก็บบันทึกข้อความ
- Waltz ดำรงตำแหน่ง National Security Advisor ของสหรัฐฯ จนถึงวันพฤหัสบดี
บริบทของภาพจาก Reuters
- ภาพที่ Reuters เผยแพร่ แสดงฉากที่ Waltz กำลังดูโทรศัพท์ระหว่าง การประชุมคณะรัฐมนตรี ที่ Donald Trump จัดขึ้นที่ทำเนียบขาว
- บนหน้าจอเห็นข้อความจากเจ้าหน้าที่รัฐบาลระดับสูงหลายคน
- JD Vance
- Tulsi Gabbard
- Marco Rubio
ข้อความ PIN ของ Signal และบริบทด้านความปลอดภัย
- ที่ด้านล่างของหน้าจอโทรศัพท์ของ Waltz มีข้อความที่ดูเหมือน ข้อความยืนยัน PIN ของ Signal ทั่วไป
- ข้อความยืนยัน PIN ของ Signal อาจแสดงขึ้นเพื่อกระตุ้นให้ผู้ใช้จำ PIN ของตน
- PIN สามารถใช้เพื่อป้องกันไม่ให้ผู้อื่นยึดบัญชีไปได้
คำถามเชิงปฏิบัติการที่ยังค้างอยู่
- หาก Signal เวอร์ชันไม่เป็นทางการถูกใช้เพื่อ เก็บบันทึกข้อความ ประเด็นสำคัญคือเจ้าหน้าที่รัฐกำลังพูดคุยข้อมูลระดับใดกันในแอปนี้
- อีกเรื่องที่ยังต้องตรวจสอบคือข้อมูลที่ถูกเก็บบันทึกนั้นได้รับการ จัดการความปลอดภัย อย่างไร
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
https://archive.ph/oXYXe
หน่วยงานรัฐเคยจ่ายเงินให้เวอร์ชันของ แอปส่งข้อความเข้ารหัสที่มีฟีเจอร์เก็บบันทึก มาก่อนแล้ว ในปี 2021 CBP จ่ายเงิน 700,000 ดอลลาร์ให้ Wickr
เรื่องแบบนี้ดูเหมือนเป็นกรณีใช้งานที่เหมาะมากสำหรับการสนับสนุน Signal บริษัทใหญ่หรือหน่วยงานรัฐก็จ่ายเงินให้ผู้พัฒนาแอปโดยตรงเพื่อทำ ฟอร์กแบบปรับแต่งเฉพาะ ได้อยู่แล้ว แต่ไม่เข้าใจว่าทำไม TeleMessage ถึงเป็นฝ่ายได้เงิน หรือว่า Signal Foundation ไม่ได้ทำให้การสร้างฟอร์กแบบเสียเงินทำได้ง่าย?
“TM SGNL” ดูเหมือนจะหมายถึงซอฟต์แวร์ของบริษัทชื่อ TeleMessage บริษัทนี้ทำแอปโคลนของแอปส่งข้อความยอดนิยม และเพิ่ม ฟีเจอร์เก็บบันทึก เข้าไปในแต่ละแอป
ถ้าจะใช้ Signal แล้วปล่อยให้ บริษัทต่างชาติสกัดกั้นการสื่อสาร ไปด้วย จะมีความหมายอะไร ผมเดาว่าพวกเขาน่าจะอยากได้ UX ของผลิตภัณฑ์เชิงพาณิชย์แทนประสบการณ์ใช้งานที่เทอะทะของแอปที่รัฐอนุมัติ มีใครรู้ไหมว่าทางเลือกอื่นคืออะไร?
Signal ได้รับอนุมัติให้ใช้ในงานภาครัฐ แต่ไม่ใช่สำหรับข้อมูลลับของกระทรวงกลาโหม ควรใช้ Signal ได้แค่ระดับ “มาที่ SCIF แล้วค่อยคุยรายละเอียดกันที่นั่น” ส่วนรายละเอียดต้องคุยกันในสภาพแวดล้อมที่ปลอดภัย
CISA แนะนำให้ใช้บริการเข้ารหัสแบบปลายทางถึงปลายทางแทน และระบุ Signal ไว้โดยเฉพาะ
https://investigations.cooley.com/2025/01/15/federal-law-enf...
สุดท้าย Signal ก็เป็นเพียงแอปหนึ่งในโทรศัพท์ ถ้าจะใช้เพื่อการสื่อสารลับ โทรศัพท์เครื่องนั้นควรมีซอฟต์แวร์ให้น้อยที่สุดหรือไม่มีเลย และต้องป้องกันด้วยรหัสผ่าน การเข้ารหัส และทุกวิธีที่ทำได้
ไม่แน่ใจว่าจำเป็นต้องยอมรับ ช่องโหว่ด้านความปลอดภัย เพื่อการเก็บบันทึกไหม ยังไงถ้าขออิสราเอลกับ Pegasus ก็น่าจะได้สำเนาเก็บบันทึกอยู่แล้ว
เมื่อดูรายละเอียดบางส่วน TeleMessage เคยเป็นหรือยังเป็นบริษัทอิสราเอลอยู่ [1] แต่ปีที่แล้วถูก Smarsh [2] บริษัทสหรัฐฯ เข้าซื้อ และ Smarsh เองก็เป็นบริษัทย่อยของ K1 Investment Management ซึ่งเป็นบริษัทสหรัฐฯ ไม่แน่ใจว่าบริษัทย้ายที่ตั้งแล้วหรือไม่
อาจไม่ได้เกี่ยวข้องโดยตรง แต่ในเงื่อนไขการให้บริการก็เห็นมีข้อกำหนดแยกต่างหากเกี่ยวกับการส่งข้อความในจีน และดูเหมือนจะรวมถึงการเปิดเผยข้อมูลต่อรัฐบาลจีนด้วย ยังไม่ชัดเจนว่าแอปทำงานอย่างไร มันถูกโฆษณาเหมือนเป็น fork ของไคลเอนต์ Signal และดูเหมือนจะอัปโหลดทุกอย่างไปยังเซิร์ฟเวอร์ระยะไกล ซึ่งถ้าเป็นเช่นนั้น ย่อมทำให้ การเข้ารหัสแบบต้นทางถึงปลายทาง เสียไป เว้นแต่จะถือว่าคลังเก็บเป็นปลายทางผู้รับอีกหนึ่งปลายทางและการเชื่อมต่อนั้นปลอดภัย อินเทอร์เฟซก็ดูเหมือนจะโปรโมตว่าเหมือนกับ Signal ด้วย
แต่ไคลเอนต์ Signal ทั้งบน iOS และ Android เป็น AGPLv3 ทั้งคู่ ผมหาหลักฐานไม่พบว่าไคลเอนต์ของ TeleMessage ไม่ใช่ซอฟต์แวร์กรรมสิทธิ์ ถ้าอย่างนั้น เป็นรูปแบบที่ให้ซอฟต์แวร์และซอร์สโค้ดเฉพาะแก่ลูกค้าที่จ่ายเงินตาม AGPLv3 แล้วลูกค้าสามารถแจกจ่ายต่อได้หรือเปล่า? พวกเขาเขียนไคลเอนต์ใหม่ทั้งหมดเองหรือเปล่า? หรือเป็น fork กรรมสิทธิ์ที่ผิดกฎหมาย? แบบแรกดูไม่น่าเป็นไปได้ ส่วนสองแบบหลังค่อนข้างเป็นลางไม่ดีในแง่ความปลอดภัยของแอป
[1]: https://en.wikipedia.org/wiki/TeleMessage
[2]: https://en.wikipedia.org/wiki/Smarsh
อย่างน้อย GPLv2 มักถูกอธิบายว่าเป็นมิตรกับองค์กรในแง่ที่ว่าการแก้ไขแบบ “ส่วนตัว” ยังคงเป็นส่วนตัว และการให้พนักงานใช้ไม่ถือเป็นการแจกจ่ายภายนอก ส่วน AGPL ผมไม่ค่อยรู้
เมื่อก่อนผมเคยทำงานในบริษัทที่ขายโซลูชันซอฟต์แวร์แบบปรับแต่งซึ่งใช้ซอฟต์แวร์ GPL ให้ลูกค้าสายทหาร น่าจะฝั่ง DOD กว่าสิบปีไม่มีใครขอโค้ดเลย จนกระทั่งเมื่อไม่กี่ปีก่อนถึงมีคนขอ น่าจะเพื่อประเมินอะไรบางอย่าง แต่สิ่งนั้นถูกใช้เป็นแกนหลักของงานหลายอย่าง ดังนั้นถ้าจะ fork คงเหนื่อยไม่น้อย มีชิ้นส่วนที่เคลื่อนไหวเยอะมากจริง ๆ
เว้นแต่จะมีใครติดต่อเซิร์ฟเวอร์ TM SGNL แล้วขอซอร์สแต่ถูกปฏิเสธ ก็ยังไม่ผิดกฎหมาย
สิ่งที่น่ากลัวจริง ๆ คือ Global Relay รับทุกอย่างผ่าน SMTP ผมไม่ได้ตรวจสอบว่าตั้งค่า DNSSEC หรือ MTA-STS ไว้หรือไม่ แต่จากวิธีดำเนินงานของ Global Relay ดูไม่น่าจะทำไว้ แค่พร็อกซีที่วางตำแหน่งดี ๆ หรือการปนเปื้อน DNS ก็น่าจะดูดอีเมลอ่อนไหวจำนวนมากที่ส่งไปยัง Global Relay ได้แล้ว
แอปดูเหมือนอันนี้
https://www.telemessage.com/how-to-install-and-register-sign...
ผมสงสัยจริง ๆ ว่าข้อความของ JD ที่ว่า “ได้รับการยืนยันจากอีกฝ่ายแล้วว่าปิดอยู่” หมายความว่าอะไร
เดี๋ยวก่อน นี่หมายความว่าสิ่งที่พวกเขาใช้คือแอปโคลน Signal ที่ดำเนินการโดย เจ้าหน้าที่ข่าวกรองอิสราเอล งั้นหรือ?
ส่วนนี้ดูเหมือนยังไม่เป็นที่รู้กันอย่างถูกต้อง ถ้าลองค้นหาที่อยู่บริษัทนั้นใน Google Maps จะพบว่าจริง ๆ แล้วเป็นบริษัทชื่อ “Cyberint” ซึ่งดูไม่ดีเอามาก ๆ
https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
ที่แย่กว่านั้นคือ เมื่อดูหน้าแนะนำทีมบนเว็บไซต์บริษัท จะเต็มไปด้วยคนที่ดูเหมือนเป็นเจ้าหน้าที่ข่าวกรองอิสราเอล “อดีต” รวมถึง CEO ด้วย
https://www.telemessage.com/team/
เรื่องนี้ดูเหมือนเป็นประเด็นใหญ่กว่าที่รู้กันตอนนี้มาก ใหญ่กว่า Signalgate เดิมหลายลำดับขั้น นัยของเรื่องนี้คือเจ้าหน้าที่ข่าวกรองอิสราเอลอาจมีสิทธิ์เข้าถึงที่ดีที่สุดในโลกตอนนี้ นั่นคือฟีดแบบเรียลไทม์ของทุกบทสนทนาที่ที่ปรึกษาความมั่นคงแห่งชาติของสหรัฐฯ เข้าร่วม