У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде - «Новости»
sitename
Microsoft добавила в PowerPoint функцию для редактирования изображений - «Новости мира Интернет»
Microsoft добавила в PowerPoint функцию для редактирования изображений - «Новости мира Интернет»
 Яндекс Браузер добавил чат с нейросетью на все страницы - «Новости мира Интернет»
Яндекс Браузер добавил чат с нейросетью на все страницы - «Новости мира Интернет»
 Главные обновления в Яндекс Рекламе - «Новости мира Интернет»
Главные обновления в Яндекс Рекламе - «Новости мира Интернет»
 GAMR создали игровой коврик, который может заменить контроллер в играх - «Новости мира Интернет»
GAMR создали игровой коврик, который может заменить контроллер в играх - «Новости мира Интернет»
 Уязвимость в чипах MediaTek позволяет взломать Android-смартфон за 45 секунд даже не включая его - «Новости сети»
Уязвимость в чипах MediaTek позволяет взломать Android-смартфон за 45 секунд даже не включая его - «Новости сети»
 Xbox Project Helix получит ИИ-генератор кадров и рейтрейсинг нового поколения — девкиты выйдут в 2027 году - «Новости сети»
Xbox Project Helix получит ИИ-генератор кадров и рейтрейсинг нового поколения — девкиты выйдут в 2027 году - «Новости сети»
 Intel представила мечту анонимов — чип Heracles для работы с зашифрованными данными без дешифровки - «Новости сети»
Intel представила мечту анонимов — чип Heracles для работы с зашифрованными данными без дешифровки - «Новости сети»
 Google завершила крупнейшее поглощение в своей истории: Wiz войдёт в состав Google Cloud - «Новости сети»
Google завершила крупнейшее поглощение в своей истории: Wiz войдёт в состав Google Cloud - «Новости сети»
 Телевизоры Hisense начали показывать неотключаемую рекламу даже при переключении входов и каналов - «Новости сети»
Телевизоры Hisense начали показывать неотключаемую рекламу даже при переключении входов и каналов - «Новости сети»
 Adobe добавила AI-ассистента в Photoshop – редактировать фото теперь можно текстом - «Новости мира Интернет»
Adobe добавила AI-ассистента в Photoshop – редактировать фото теперь можно текстом - «Новости мира Интернет»
Новости мира Интернет » Новости » У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде - «Новости»

✔У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде - «Новости»

25 октября 2018 974 Новости 0

Незашифрованные сообщения


ИБ-специалист Мэтью Сюиш (Matt Suiche) обнаружил, что защищенный мессенджер Signal некорректно осуществляет апгрейд от расширения для Chrome до полноценного десктопного клиента. Дело в том, что во время этой процедуры сообщения пользователя экспортируются в незащищенные текстовые файлы.


В ходе апегрейда расширения Signal для Chrome до Signal Desktop, пользователя просят выбрать место, куда будут сохранена информация о сообщениях (текст и вложения), чтобы затем импортировать ее в новую версию мессенджера.


Сюиш заметил, что сообщения попросту сохраняются в файле messages.json, без шифрования. В Twitter специалист пишет, что «это просто безумие» и сообщает, что уже отправил разработчикам мессенджера баг-репорт.








Хотя исследователь обнаружил опасные баг в macOS, когда сам обновлял Signal, журналисты BleepingComputer обнаружили, что при переходе с расширения для браузера на десктопный клиент, такая же проблема проявляется и в Linux Mint. Хуже того, незашифрованные сообщения в обоих случаях остаются на диске даже после завершения апгрейда, и удалять их придется вручную.





Ключи для дешифровки


Еще одну проблему в Signal Desktop выявил ИБ-специалист Нэйтан Сёчи (Nathaniel Suchy).


Дело в том, что во время установки Signal Desktop создается зашифрованная БД SQLite (db.sqlite), где хранятся сообщения пользователя. Ключ шифрования от этой БД генерируется мессенджером автоматически, без взаимодействия с пользователем. Данный ключ требуется Signal Desktop каждый раз, когда нужно открыть базу. И, как выяснил эксперт, он хранится локально, в отрытом виде. На ПК в файле %AppData%Signalconfig.json и на Mac в ~/Library/Application Support/Signal/config.json.


Если открыть файл config.json даже с помощью обычного Блокнота, можно обнаружить следующее:





Сучи поясняет, что вся переписка пользователя в итоге может оказаться в руках любой третьей стороны, у которой есть доступ к компьютеру. При этом исследователь убежден, что в теории проблему легко исправить: достаточно просто попросить пользователя ввести пароль и использовать его для ключа шифрования.







Источник новостиgoogle.com

Незашифрованные сообщения ИБ-специалист Мэтью Сюиш (Matt Suiche) обнаружил, что защищенный мессенджер Signal некорректно осуществляет апгрейд от расширения для Chrome до полноценного десктопного клиента. Дело в том, что во время этой процедуры сообщения пользователя экспортируются в незащищенные текстовые файлы. В ходе апегрейда расширения Signal для Chrome до Signal Desktop, пользователя просят выбрать место, куда будут сохранена информация о сообщениях (текст и вложения), чтобы затем импортировать ее в новую версию мессенджера. Сюиш заметил, что сообщения попросту сохраняются в файле messages.json, без шифрования. В Twitter специалист пишет, что «это просто безумие» и сообщает, что уже отправил разработчикам мессенджера баг-репорт. Am I tripping or if you upgrade Signal Desktop, it saves all your messages in plain text (messages.json) attachments locally so you can re-import them in the newer version?

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS, Signal сообщения пользователя October messages
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация