Незашифрованные сообщения

ИБ-специалист Мэтью Сюиш (Matt Suiche) обнаружил, что защищенный мессенджер Signal некорректно осуществляет апгрейд от расширения для Chrome до полноценного десктопного клиента. Дело в том, что во время этой процедуры сообщения пользователя экспортируются в незащищенные текстовые файлы.

В ходе апегрейда расширения Signal для Chrome до Signal Desktop, пользователя просят выбрать место, куда будут сохранена информация о сообщениях (текст и вложения), чтобы затем импортировать ее в новую версию мессенджера.

Сюиш заметил, что сообщения попросту сохраняются в файле messages.json, без шифрования. В Twitter специалист пишет, что «это просто безумие» и сообщает, что уже отправил разработчикам мессенджера баг-репорт.

Хотя исследователь обнаружил опасные баг в macOS, когда сам обновлял Signal, журналисты BleepingComputer обнаружили, что при переходе с расширения для браузера на десктопный клиент, такая же проблема проявляется и в Linux Mint. Хуже того, незашифрованные сообщения в обоих случаях остаются на диске даже после завершения апгрейда, и удалять их придется вручную.

Ключи для дешифровки

Еще одну проблему в Signal Desktop выявил ИБ-специалист Нэйтан Сёчи (Nathaniel Suchy).

Дело в том, что во время установки Signal Desktop создается зашифрованная БД SQLite (db.sqlite), где хранятся сообщения пользователя. Ключ шифрования от этой БД генерируется мессенджером автоматически, без взаимодействия с пользователем. Данный ключ требуется Signal Desktop каждый раз, когда нужно открыть базу. И, как выяснил эксперт, он хранится локально, в отрытом виде. На ПК в файле %AppData%\Signal\config.json и на Mac в ~/Library/Application Support/Signal/config.json.

Если открыть файл config.json даже с помощью обычного Блокнота, можно обнаружить следующее:

Сёчи поясняет, что вся переписка пользователя в итоге может оказаться в руках любой третьей стороны, у которой есть доступ к компьютеру. При этом исследователь убежден, что в теории проблему легко исправить: достаточно просто попросить пользователя ввести пароль и использовать его для ключа шифрования.

 

 

1 комментарий

  1. emeliyanov

    04.11.2018 at 04:36

    Во-первых, у вас фамилия эксперта то Сучи, то Сёчи. Вы не стесняйтесь, пишите как есть. 🙂

    Во-вторых, достали мамкины эксперты, которые находят что-то там в сохраненных файлах и бегут орать «Bug bounty! Davay deneg bystro suchi!». Шифровать ваши файлы на диске вашего компьютера — это не задача мессенджера, для этого есть другие программы. Мессенджер обеспечивает безопасность в транзите.

Оставить мнение