Het bedrijf TeleMessage bewaart plaintext berichten van gebruikers van de aangepaste Signal-variant, zo waarschuwt het Amerikaanse cyberagentschap CISA. TeleMessage biedt aangepaste versies van chatapps zoals Signal, WhatsApp, Telegram en WeChat. Onlangs bleek dat verschillende Amerikaanse regeringsfunctionarissen gebruikmaken van de TeleMessage Signal-variant (TM SGNL).

Deze Signal-variant is bijna identiek aan de originele Signal-versie, behalve dat die een kopie van elk bericht archiveert op een door de klant opgegeven bestemming. Chatberichten gaan daarbij eerst naar een archiefserver van TeleMessage, voordat ze naar de bestemming van de klant gaan. De communicatie tussen de TeleMessage Signal-variant en archiefserver is niet end-to-end versleuteld, ook al staat in de documentatie van wel, zo liet beveiligingsonderzoeker Micah Lee vorige week weten.

Plaintext, ontsleutelde versies van de berichten worden zodoende verstuurd. De archiefserver stuurt deze berichten naar de uiteindelijke bestemming. "Nadat TM SGNL berichten ontsleutelt, stuurt het plaintext chatlogs naar de archiefserver van TeleMessage. Op dat moment kunnen veel mensen toegang tot de chatlogs hebben", aldus Lee.

De onderzoeker stelt dat de archiefserver werd gehost in de publieke cloud van Amazon. "Dit is geen goedgekeurde locatie voor de opslag van geclassificeerde informatie, en mogelijk kwaadwillende AWS-medewerkers zouden toegang kunnen hebben." Lee voegt toe dat de server voor iedereen openstond die er HTTP requests naar toe stuurde, om zo te proberen chatlogs als antwoord terug te krijgen. De server is na berichtgeving over het lekken van informatie offline gehaald.

De kwetsbaarheid is inmiddels bestempeld als CVE-2025-47729. Het gaat om een "verborgen functionaliteit". Volgens de omschrijving bewaart de TeleMessage backend berichten van TM SGNL-gebruikers, wat "andere functionaliteit" is dan staat beschreven in de documentatie van het bedrijf. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat er actief misbruik van het probleem is gemaakt. Het CISA stelt dat het product niet meer moet worden gebruikt als er geen oplossingen voorhanden zijn.