De Amerikaanse senator Ron Wyden heeft het Amerikaanse ministerie van Justitie via een brief verzocht om een onderzoek in te stellen naar TeleMessage Signal Archiver, waar sommige Amerikaanse bewindslieden gebruik van maakten. Afgelopen dagen bleek dat aanvallers erin waren geslaagd om data bij TeleMessage te stelen.

TeleMessage Signal Archiver is een aangepaste versie van Signal die eruitziet als Signal en is te gebruiken om met andere Signal-gebruikers te communiceren. Het doel van de app is om berichten die gebruikers versturen te archiveren. TeleMessage claimt dat berichten niet worden ontsleuteld voordat ze naar de archiveringsserver van de klant worden gestuurd. Een beveiligingsonderzoeker stelde dat de TeleMessage-app een kopie van elk inkomend en uitgaand bericht naar een server van het bedrijf stuurt.

"De overheidsinstanties die van TeleMessage Archiver gebruikmaken hebben de slechtst mogelijke optie gekozen. Ze hebben hun gebruikers iets gegeven dat eruitziet als Signal, de meest vertrouwde beveiligde communicatie-app. Maar in plaats daarvan hebben hooggeplaatste overheidsfunctionarissen een slechte Signal-kopie gekregen die een aantal serieuze veiligheids- en contraspionagerisico's met zich meebrengt", aldus Wyden.

Volgens de senator is het probleem dat overheidsinstanties berichten van hun medewerkers willen opslaan die worden verstuurd via een app die hiervoor niet is ontwikkeld. "Signal is voor gewone gebruikers ontworpen die hun berichten niet voor altijd moeten of willen opslaan, laat staan dat ze op een centrale server worden gearchiveerd. Het toevoegen van archiveringsmogelijkheden aan Signal zonder de veiligheid te ondermijnen was altijd al lastig. TeleMessage lijkt de feature op zo'n manier te hebben ontworpen dat het alleen nieuwe kwetsbaarheden introduceert."

Wyden vraagt zich af of het ontwerp het gevolg is van "incompetentie" van een buitenlands bedrijf, of dat het een bewuste backdoor is om buitenlandse inlichtingendiensten te helpen met het verzamelen van informatie over Amerikaanse overheidsfunctionarissen. Dit gevaarlijke ontwerp had echter gevonden moeten worden voordat de app op de telefoon van de nationale veiligheidsadviseur werd geïnstalleerd, gaat Wyden verder.

De senator wil nu dat het ministerie van Justitie onderzoekt of TeleMessage de Amerikaanse overheid heeft misleid over de veiligheid van het product. Daarnaast moet worden onderzocht of buitenlandse medewerkers van TeleMessage toegang hebben gehad tot berichten van Amerikaanse bewindslieden, of deze berichten zijn gedeeld met de Israëlische regering en of de Israëlische regering een rol heeft gespeeld bij het ontwerp van de applicatie (pdf).