У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде - «Новости»
sitename
Сбер представил Kandinsky 6.0 Image: флагманскую модель, которая умеет профессионально редактировать фото - «Новости мира Интернет»
Сбер представил Kandinsky 6.0 Image: флагманскую модель, которая умеет профессионально редактировать фото - «Новости мира Интернет»
 Resident Evil Requiem продаётся так хорошо, что Capcom пришлось повысить прогноз по выручке за год - «Новости сети»
Resident Evil Requiem продаётся так хорошо, что Capcom пришлось повысить прогноз по выручке за год - «Новости сети»
 Microsoft запускает K2 — экстренный план по спасению репутации Windows 11 - «Новости сети»
Microsoft запускает K2 — экстренный план по спасению репутации Windows 11 - «Новости сети»
 Steam Controller оказалось легко разобрать и отремонтировать - «Новости сети»
Steam Controller оказалось легко разобрать и отремонтировать - «Новости сети»
 Сотня за секунду: Dreame показала гиперкар с реактивными ускорителями и твердотельной тяговой батареей - «Новости сети»
Сотня за секунду: Dreame показала гиперкар с реактивными ускорителями и твердотельной тяговой батареей - «Новости сети»
 Исследование: полупроводники из оксида галлия работают при температуре ниже, чем в открытом космосе - «Новости сети»
Исследование: полупроводники из оксида галлия работают при температуре ниже, чем в открытом космосе - «Новости сети»
 Вопреки опасениям фанатов, в Assassin’s Creed Black Flag Resynced всё-таки будет кровь и «даже не в виде платного DLC» - «Новости сети»
Вопреки опасениям фанатов, в Assassin’s Creed Black Flag Resynced всё-таки будет кровь и «даже не в виде платного DLC» - «Новости сети»
 Режиссёр Resident Evil Requiem засветил продажи игры на фотографии с корпоратива Capcom - «Новости сети»
Режиссёр Resident Evil Requiem засветил продажи игры на фотографии с корпоратива Capcom - «Новости сети»
 Запустился мессенджер XChat от Илона Маска — обещано сквозное шифрование, секретные чаты, звонки и встроенный Grok - «Новости сети»
Запустился мессенджер XChat от Илона Маска — обещано сквозное шифрование, секретные чаты, звонки и встроенный Grok - «Новости сети»
 ИИ поставил человекоподобных роботов на коньки — такого хоккея мы от них не ждали - «Новости сети»
ИИ поставил человекоподобных роботов на коньки — такого хоккея мы от них не ждали - «Новости сети»
Новости мира Интернет » Новости » У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде - «Новости»

✔У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде - «Новости»

25 октября 2018 974 Новости 0

Незашифрованные сообщения


ИБ-специалист Мэтью Сюиш (Matt Suiche) обнаружил, что защищенный мессенджер Signal некорректно осуществляет апгрейд от расширения для Chrome до полноценного десктопного клиента. Дело в том, что во время этой процедуры сообщения пользователя экспортируются в незащищенные текстовые файлы.


В ходе апегрейда расширения Signal для Chrome до Signal Desktop, пользователя просят выбрать место, куда будут сохранена информация о сообщениях (текст и вложения), чтобы затем импортировать ее в новую версию мессенджера.


Сюиш заметил, что сообщения попросту сохраняются в файле messages.json, без шифрования. В Twitter специалист пишет, что «это просто безумие» и сообщает, что уже отправил разработчикам мессенджера баг-репорт.








Хотя исследователь обнаружил опасные баг в macOS, когда сам обновлял Signal, журналисты BleepingComputer обнаружили, что при переходе с расширения для браузера на десктопный клиент, такая же проблема проявляется и в Linux Mint. Хуже того, незашифрованные сообщения в обоих случаях остаются на диске даже после завершения апгрейда, и удалять их придется вручную.





Ключи для дешифровки


Еще одну проблему в Signal Desktop выявил ИБ-специалист Нэйтан Сёчи (Nathaniel Suchy).


Дело в том, что во время установки Signal Desktop создается зашифрованная БД SQLite (db.sqlite), где хранятся сообщения пользователя. Ключ шифрования от этой БД генерируется мессенджером автоматически, без взаимодействия с пользователем. Данный ключ требуется Signal Desktop каждый раз, когда нужно открыть базу. И, как выяснил эксперт, он хранится локально, в отрытом виде. На ПК в файле %AppData%Signalconfig.json и на Mac в ~/Library/Application Support/Signal/config.json.


Если открыть файл config.json даже с помощью обычного Блокнота, можно обнаружить следующее:





Сучи поясняет, что вся переписка пользователя в итоге может оказаться в руках любой третьей стороны, у которой есть доступ к компьютеру. При этом исследователь убежден, что в теории проблему легко исправить: достаточно просто попросить пользователя ввести пароль и использовать его для ключа шифрования.







Источник новостиgoogle.com

Незашифрованные сообщения ИБ-специалист Мэтью Сюиш (Matt Suiche) обнаружил, что защищенный мессенджер Signal некорректно осуществляет апгрейд от расширения для Chrome до полноценного десктопного клиента. Дело в том, что во время этой процедуры сообщения пользователя экспортируются в незащищенные текстовые файлы. В ходе апегрейда расширения Signal для Chrome до Signal Desktop, пользователя просят выбрать место, куда будут сохранена информация о сообщениях (текст и вложения), чтобы затем импортировать ее в новую версию мессенджера. Сюиш заметил, что сообщения попросту сохраняются в файле messages.json, без шифрования. В Twitter специалист пишет, что «это просто безумие» и сообщает, что уже отправил разработчикам мессенджера баг-репорт. Am I tripping or if you upgrade Signal Desktop, it saves all your messages in plain text (messages.json) attachments locally so you can re-import them in the newer version?

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS, Signal сообщения пользователя October messages
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация