Розробники Signal усунули критичну вразливість месенджера через 6 років після виявлення

Розробники застосунку Signal усунули вразливість у десктопній версії клієнта, на яку їм вказували ще у 2018 році. Протягом шести років розробники месенджера не мали зобов’язання щодо її виправлення, пише Bleeping Computer.

Фахівці описали проблему. При встановленні Signal для Windows або macOS створюється зашифрована база даних, у якій зберігаються повідомлення користувача. Ключ для шифрування зберігається у відкритому вигляді у файлі JSON, що дозволяє будь-якому іншому користувачу або програмі на тому ж комп’ютері отримати до нього доступ і розшифрувати базу даних.

Незалежний розробник Том Плант запропонував використовувати Electron SafeStorage API для перенесення ключів шифрування у захищені місця. Для Windows це DPAPI, для macOS — «зв'язка ключів» (Keychain), а для Linux — секретне сховище поточного віконного менеджера. На думку фахівця, це забезпечить додатковий захист бази даних.

Два дні тому представник Signal повідомив, що запропоноване рішення було інтегровано у месенджер і з’явиться у майбутній бета-версії клієнта. Поки нова реалізація тестується, розробники Signal зберегли резервний механізм, який дозволяє програмі розшифровувати базу даних звичним способом.

Нагадаємо — раніше стало відомо, що хакери намагалися вразити комп’ютери військових шкідливим програмним забезпеченням. Атаку проводили через месенджер Signal. Кіберзловмисники, видаючи себе за колегу військового, надсилали XLS-документ під виглядом звіту та проханням допомогти з його формуванням. Цей документ містив шкідливий код, який після відкриття завантажував і запускав на комп’ютері жертви шкідливу програму COOKBOX. За даними CERT-UA, дана активність експлуатується щонайменше з осені 2023 року.