В последние дни в сети циркулирует слух о 0-day уязвимости в мессенджере Signal, которая якобы связанна с функцией предварительного просмотра ссылок (Generate Link Previews). Разработчики Signal прокомментировали эти сообщения, заявив, что никаких доказательств существования этой уязвимости нет.
Сообщения о проблеме нулевого дня в Signal, которая якобы позволяет полностью захватывать уязвимые устройства, распространились в социальных сетях в минувшие выходные (1, 2, 3). В сообщении утверждалось, что, по данным неких источников в американском правительстве, опасную уязвимость в Signal можно устранить, отключив функцию Generate Link Previews. В итоге эти слухи были вынуждены прокомментировать и опровергнуть разработчики мессенджера.
В серии сообщений в X (бывший Twitter) специалисты заявили, что внимательно изучили информацию о 0-day баге и нашли никаких доказательств того, что он вообще существует.
«Мы видели туманные вирусные сообщения о наличии 0-day уязвимости Signal. После проведения тщательного расследования *мы не нашли никаких доказательств того, что эта уязвимость существует*, и не получили никакой дополнительной информации об этом по официальным каналам, — пишут представители Signal. — Также мы связались с представителями правительства США, поскольку в копипасте в качестве источника упоминался представитель американских властей. Те, с кем мы общались, не получали никакой информации, указывающей на то, что это утверждение обоснованно».
Хотя Signal заявила, что не нашла доказательств существования 0-day уязвимости, компания по-прежнему просит всех, у кого есть новая и реальная информация об этой вероятной проблеме, связаться с командой безопасности мессенджера.
Как отмечают ИБ-эксперты, пока полной ясности нет, пользователям, возможно, действительно следует отключить функцию Generate Link Previews на своих устройствах.