Сервис SecureDrop был создан «Фондом свободы прессы» (Freedom of the Press Foundation) и предназначен для анонимной передачи в прессу документов и информации для публикаций. К примеру, им могут воспользоваться информаторы из спецслужб и других государственных ведомств, правозащитники, сотрудники частных компаний, которые хотят сообщить о преступлениях, которые скрывает их работодатель, и так далее. Этой опенсорсной платформой, которая работает в связке с Tor, пользуются СМИ по всему миру.
Представители SecureDrop сообщили, что недавно им удалость обнаружить и устранить серьезную уязвимость, которая в теории ставила под угрозу пользователей сервиса. 16 октября 2017 года, в ходе проведения внутреннего тестирования, разработчики выявили проблему в конфигурационной логике. Оказалось, что во время первичной установки пакеты tor, ntp и tor keyring из-за бага могут устанавливаться без надлежащей верификации криптографических подписей. В итоге передача пакетов осуществляется посредством HTTP, а значит злоумышленник может выполнить MitM-атаку на сервер и удаленно выполнить вредоносный код.
Проблема была обнаружена в версии SecureDrop 0.3, вышедшей в 2015 году. Более поздних версий баг не коснулся. Разработчики уже представили патч, вошедший в состав SecureDrop 0.4.4.
Специалисты отмечают, что, к счастью, временное «окно», во время которого есть возможность осуществления атаки, очень небольшое. По сути, злоумышленник должен совершить MiTM-атаку и, в строго определенное время, подменить установочные файлы на вредоносные. Разработки SecureDrop уверены, что риск минимален, но все равно рекомендовали своим пользователям внимательно все проверить, а лучше установить SecureDrop заново.
