Signal ставит под угрозу безопасность конфиденциальных данных
Хотя разработчики Signal позиционируют мессенджер как средство для безопасной коммуникации, приложение не обеспечивает должную защиту при обновлении с расширения для Chrome на декстопную версию, экспортируя сообщения пользователей в виде незашифрованных файлов.
В процессе апгрейда пользователю требуется указать локацию, куда будут сохраняться данные сообщений (текст и вложения), для автоматического импорта информации в новую версию. Однако, по словам эксперта по безопасности Мэтта Суиша (Matt Suiche), обратившего внимание на проблему, приложение сохраняет данные в незашифрованном виде.
Главная директория содержит отдельные папки для каждого контакта в Signal, которые названы по имени контакта и номеру телефона. В папках также хранятся файлы JSON, содержащие диалоги. Таким образом, просто открыв директорию, можно получить доступ к ценной информации. Более того, данные сохраняются на диске даже после завершения процесса апгрейда. Пользователям потребуется вручную удалить папки для снижения риска утечки конфиденциальной информации.
Весной нынешнего года в различных версиях мессенджера были обнаружены сразу несколько уязвимостей, предоставляющих возможность обойти аутентификацию или внедрить код .
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш