Ничто не идеально: в мессенджере Signal обнаружено и устранено сразу три уязвимости

17 сентября 2016, 07:56 | Технологии
фото с InternetUA
Размер текста:

Приложение Signal считается одним из наиболее защищенных мессенджеров на сегодняшний день, не даром Эдвард Сноуден рекомендовал использовать именно этот IM и признался, что сам тоже пользуются Signal. И хотя Signal стал уже неким синонимом защищенности, исследователи Жан-Филипп Омассон (Jean-Philippe Aumasson) и Маркус Вервье (Markus Vervier) напоминают, что ничто не идеально. Специалисты обнаружили сразу три уязвимости в коде мессенджера, и это первый случай обнаружения багов в Signal вообще.

Обновление, устраняющее найденные проблемы, уже опубликовано на GitHub, но еще не было включено в состав приложений для Android и iOS.

Все началось с того, что на конференции  Blackhat 2016 Омассон и Вервье заскучали и решили провести собственную экспертизу кода Android-версии мессенджера. Их затея обернулась полномасштабным аудитом, который принес свои плоды.

Вначале специалисты выявили уязвимость, позволяющую обойти аутентификацию. Однако использовать баг атакующий сможет, только если ранее он уже скомпрометировал сервер Signal или имеет какую-то другую возможность мониторить данные, которыми обмениваются пользователи мессенджера. Если эти условия соблюдены, злоумышленник может подменять настоящие аттачи любыми другими, в том числе вредоносными.

Вторая обнаруженная проблема в теории позволяет атакующему удаленно выполнить на устройстве вредоносный код. Но красиво реализовать эту проблему мешает третий баг, который попросту удаленно провоцирует «падение» приложения.



«Результаты определенно не катастрофические, но они доказывают, что Signsl, равно как и любая другая программа, неидеален», — прокомментировал Омассон журналистам издания ArsTechnica. — Signal привлек внимание многих исследователей в области информационной безопасности, и тот факт, что до сегодняшнего дня никакой информации об уязвимостях в нем не было обнародовано, очень впечатляет. Всё это определенно говорит в пользу Signal, и мы продолжим ему верить».

Подробности о найденных проблемах уже были опубликованы, ознакомиться с ними можно здесь.

По материалам: pwnaccelerator.github.io



Добавить комментарий
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введите верный ответ         
Новини українською