У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде - «Новости»
sitename
Почти полноценную Windows XP теперь можно запустить прямо в браузере - «Новости сети»
Почти полноценную Windows XP теперь можно запустить прямо в браузере - «Новости сети»
 Microsoft узнала о критической уязвимости SharePoint ещё два месяца назад, но не смогла её исправить - «Новости сети»
Microsoft узнала о критической уязвимости SharePoint ещё два месяца назад, но не смогла её исправить - «Новости сети»
 Слухи: новым руководителем российского издателя «Мира танков» и «Мира кораблей» станет бывший гендиректор «ВКонтакте» - «Новости сети»
Слухи: новым руководителем российского издателя «Мира танков» и «Мира кораблей» станет бывший гендиректор «ВКонтакте» - «Новости сети»
 Эксперты рассказали, как не получить штраф за поиск экстремистских материалов - «Новости сети»
Эксперты рассказали, как не получить штраф за поиск экстремистских материалов - «Новости сети»
 Многих буквально тошнит от езды в электромобилях, и учёные нашли этому объяснение - «Новости сети»
Многих буквально тошнит от езды в электромобилях, и учёные нашли этому объяснение - «Новости сети»
 NVIDIA приступила к производству ИИ-ускорителей GB300 / ServerNews - «Новости сети»
NVIDIA приступила к производству ИИ-ускорителей GB300 / ServerNews - «Новости сети»
 10 долгих лет: состоялся официальный запуск экзафлопсного суперкомпьютера Aurora / ServerNews - «Новости сети»
10 долгих лет: состоялся официальный запуск экзафлопсного суперкомпьютера Aurora / ServerNews - «Новости сети»
 «Больше похоже на Fallout, чем последние игры серии»: новый геймплей неофициального шутера Fallout: Bakersfield на движке Doom впечатлил фанатов - «Новости сети»
«Больше похоже на Fallout, чем последние игры серии»: новый геймплей неофициального шутера Fallout: Bakersfield на движке Doom впечатлил фанатов - «Новости сети»
 Cyberpunk 2077 протестировали на компьютерах Apple Mac с чипами от M1 до M4 - «Новости сети»
Cyberpunk 2077 протестировали на компьютерах Apple Mac с чипами от M1 до M4 - «Новости сети»
 Asus представила 31,5-дюймовый 6K-монитор ProArt Display 6K PA32QCV для профессионалов за $1299 - «Новости сети»
Asus представила 31,5-дюймовый 6K-монитор ProArt Display 6K PA32QCV для профессионалов за $1299 - «Новости сети»
Новости мира Интернет » Новости » У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде - «Новости»

✔У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде - «Новости»

25 октября 2018 898 Новости 0

Незашифрованные сообщения


ИБ-специалист Мэтью Сюиш (Matt Suiche) обнаружил, что защищенный мессенджер Signal некорректно осуществляет апгрейд от расширения для Chrome до полноценного десктопного клиента. Дело в том, что во время этой процедуры сообщения пользователя экспортируются в незащищенные текстовые файлы.


В ходе апегрейда расширения Signal для Chrome до Signal Desktop, пользователя просят выбрать место, куда будут сохранена информация о сообщениях (текст и вложения), чтобы затем импортировать ее в новую версию мессенджера.


Сюиш заметил, что сообщения попросту сохраняются в файле messages.json, без шифрования. В Twitter специалист пишет, что «это просто безумие» и сообщает, что уже отправил разработчикам мессенджера баг-репорт.








Хотя исследователь обнаружил опасные баг в macOS, когда сам обновлял Signal, журналисты BleepingComputer обнаружили, что при переходе с расширения для браузера на десктопный клиент, такая же проблема проявляется и в Linux Mint. Хуже того, незашифрованные сообщения в обоих случаях остаются на диске даже после завершения апгрейда, и удалять их придется вручную.





Ключи для дешифровки


Еще одну проблему в Signal Desktop выявил ИБ-специалист Нэйтан Сёчи (Nathaniel Suchy).


Дело в том, что во время установки Signal Desktop создается зашифрованная БД SQLite (db.sqlite), где хранятся сообщения пользователя. Ключ шифрования от этой БД генерируется мессенджером автоматически, без взаимодействия с пользователем. Данный ключ требуется Signal Desktop каждый раз, когда нужно открыть базу. И, как выяснил эксперт, он хранится локально, в отрытом виде. На ПК в файле %AppData%Signalconfig.json и на Mac в ~/Library/Application Support/Signal/config.json.


Если открыть файл config.json даже с помощью обычного Блокнота, можно обнаружить следующее:





Сучи поясняет, что вся переписка пользователя в итоге может оказаться в руках любой третьей стороны, у которой есть доступ к компьютеру. При этом исследователь убежден, что в теории проблему легко исправить: достаточно просто попросить пользователя ввести пароль и использовать его для ключа шифрования.







Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Незашифрованные сообщения ИБ-специалист Мэтью Сюиш (Matt Suiche) обнаружил, что защищенный мессенджер Signal некорректно осуществляет апгрейд от расширения для Chrome до полноценного десктопного клиента. Дело в том, что во время этой процедуры сообщения пользователя экспортируются в незащищенные текстовые файлы. В ходе апегрейда расширения Signal для Chrome до Signal Desktop, пользователя просят выбрать место, куда будут сохранена информация о сообщениях (текст и вложения), чтобы затем импортировать ее в новую версию мессенджера. Сюиш заметил, что сообщения попросту сохраняются в файле messages.json, без шифрования. В Twitter специалист пишет, что «это просто безумие» и сообщает, что уже отправил разработчикам мессенджера баг-репорт. Am I tripping or if you upgrade Signal Desktop, it saves all your messages in plain text (messages.json) attachments locally so you can re-import them in the newer version?
CSS, Signal сообщения пользователя October messages
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация