<div dir="ltr">Hi Ran,<br><div class="gmail_quote"><div dir="ltr"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000" class="gmail_msg">Is anyone aware of a study of the level of protection that
    Whatsapp/Signal gives from the OS itself, or from other
    applications on the phone?</div></blockquote><div><br></div><div>Your second question is easier: as far as I know, Signal/WhatsApp relies upon the OS to protect its own secrets from other applications on the phone. I would hope that on iPhones they store the secret keys in the <a href="https://www.apple.com/business/docs/iOS_Security_Guide.pdf">iOS keychain</a> so that its confidentiality would chain back to the phone&#39;s login credentials and the physical protection of the Secure Enclave, but I don&#39;t know for sure.</div><div><br></div><div>As for protection from the OS itself: Ari is right that there isn&#39;t much that Signal can do here, but you&#39;ve actually opened up a far bigger can of worms. There&#39;s another piece of Signal&#39;s threat model that you should know: they protect data, but they&#39;re very clear that they make no attempt to protect metadata or consumer anonymity.</div><div><br></div><div>As a result, Signal for Android relies heavily on <a href="https://developers.google.com/cloud-messaging/gcm">Google&#39;s cloud messaging service</a> to provide a simple, low-power method to notify your phone when you&#39;ve received a message. From a privacy standpoint, this means that Google knows everyone you&#39;re talking to.</div><div><br></div><div>Some privacy-conscious people tried to make a Signal clone called LibreSignal that was compiled without Google services, but Moxie killed the project. You can read the long discussion between Moxie and the privacy activists <a href="https://github.com/LibreSignal/LibreSignal/issues/37#issuecomment-217211165">here</a>; it&#39;s about as humorous and disjointed as a Three Stooges sketch, with the LibreSignal folks rambling about an ideal world with reproducible builds of a Google-free Signal clone while Moxie beats them over the head with claims about (1) trademark infringement and (2) their inability to take GPL code that communicates with a centralized server and modify it while still trying to communicate with said server.</div><div><br></div><div>Rather than reading the forum post, I would instead recommend you read <a href="https://whispersystems.org/blog/the-ecosystem-is-moving/">Moxie&#39;s blog post</a> the next day about the death of federation. Also, <a href="https://www.bountysource.com/issues/35722527-create-proper-pull-request-to-add-libresignal-s-websocket-support-to-ows-signal">there&#39;s a $1055 bounty</a> for anyone who submits a pull request to Signal with an alternative method of message notifications that can be used on Android phones without Google play services installed... so if you&#39;ve read this far and you want to improve the privacy of Signal for Android, go for it!</div><div><br></div><div>Mayank</div></div></div>