Истина где-то ниже
Октябрь 25, 2018

Signal оставляет на диске незашифрованную переписку

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Серьезную уязвимость в мессенджере Signal обнаружил независимый исследователь Мэтт Суичи (Matt Suiche). Как выяснил ИБ-специалист, в процессе перехода с расширения для Chrome на десктоп-версию программа сохраняет всю историю переписки и медиафайлы на диск в незашифрованном виде. Более того, после окончания апгрейда данные не уничтожаются автоматически, а остаются на компьютере до тех пор, пока пользователь не удалит их самостоятельно.

Суичи столкнулся с проблемой в версии приложения для macOS. Впоследствии редакции издания Bleeping Computer удалось воспроизвести ее также в Linux Mint. Каталог выгрузки содержит папки, каждая из которых соответствует одному контакту адресной книги Signal. Название директории включает в себя номер телефона адресата, что уже является раскрытием персональной информации, которой могут воспользоваться злоумышленники. Вдобавок к этому вся переписка с конкретным абонентом сохраняется в виде обычного текста в файлах с расширением .json.

В процессе перехода на десктопную версию приложение не предупреждает пользователя о том, что его данные будут сохранены в незашифрованном виде. Программа также не уведомляет о необходимости удаления конфиденциальной информации вручную, поскольку после завершения апгрейда папки с персональными сведениями остаются на диске. Исследователь назвал такую ситуацию «безумием», отметив, что мессенджер позиционирует себя как средство для приватного, защищенного общения.

Это не единственная проблема Signal Desktop — как выяснил ИБ-аналитик компании Red Canary Кит МакКаммон (Keith McCammon), программа содержит серьезный баг в алгоритме работы с исчезающими сообщениями. Исследователь обнаружил, что после автоматического удаления текста из беседы связанные с ним изображения, видео и аудиофрагменты остаются на диске и могут быть найдены при обращении к файловой системе.

Ранее десктопная версия мессенджера уже попадала в поле зрения специалистов по информационной безопасности. В мае этого года эксперты выяснили, что приложение допускает внедрение стороннего кода в HTML-тегах <iframe>, <image>, <video> и <audio>. Защита от вредоносных инъекций присутствовала в первых версиях Signal, но по неизвестным причинам исчезла из исходников программы в начале апреля 2018-го. Разработчики сумели залатать брешь лишь со второй попытки — после выхода первого патча исследователям удалось повторить атаку.

Мессенджер Signal изначально существовал в виде мобильного приложения. Для удобства пользователей персональных компьютеров и ноутбуков разработчики выпустили Chrome-плагин, а в октябре 2017 года и отдельную десктопную версию. Тогда же создатели мессенджера решили отказаться от расширения для браузера и планируют удалить его из репозитория в ноябре.

Источник: https://threatpost.ru/signal-desktop-app-leaves-unencrypted-messages-on-hard-drive/28875/