MoneyMaker - здесь делают деньги! MoneyMaker - здесь делают деньги!

Форум Darkmoney Форум Дубликат
Дроп-сервис
probivbiz
Курсы по анонимности и безопасности Чат Манимейкера
Благотворительный фонд
Гарант-сервис, безопасные покупки


Вернуться   MoneyMaker - здесь делают деньги! > Информационный раздел > Новости из СМИ


Новости из СМИ Новости из средств массовой информации, связанные с тематикой форума MoneyMaker.

garant
Like Tree1Likes
  • 1 Post By generator

Ответ
 
LinkBack Опции темы Опции просмотра
Старый 25.10.2018, 20:15   #1
МОДЕРАТОР
Коллегия
 
Аватар для generator
 
Регистрация: 16.08.2018
Сообщений: 673
Депозит: 0 р.
Сделок через ГАРАНТ: 0
Покупок через ГАРАНТ: 0
По умолчанию У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде

ИБ-специалист Мэтью Сюиш (Matt Suiche) обнаружил, что защищенный мессенджер Signal некорректно осуществляет апгрейд от расширения для Chrome до полноценного десктопного клиента. Дело в том, что во время этой процедуры сообщения пользователя экспортируются в незащищенные текстовые файлы.

В ходе апегрейда расширения Signal для Chrome до Signal Desktop, пользователя просят выбрать место, куда будут сохранена информация о сообщениях (текст и вложения), чтобы затем импортировать ее в новую версию мессенджера.

Сюиш заметил, что сообщения попросту сохраняются в файле messages.json, без шифрования. В Twitter специалист пишет, что «это просто безумие» и сообщает, что уже отправил разработчикам мессенджера баг-репорт.



Хотя исследователь обнаружил опасные баг в macOS, когда сам обновлял Signal, журналисты BleepingComputer обнаружили, что при переходе с расширения для браузера на десктопный клиент, такая же проблема проявляется и в Linux Mint. Хуже того, незашифрованные сообщения в обоих случаях остаются на диске даже после завершения апгрейда, и удалять их придется вручную.


Ключи для дешифровки
Еще одну проблему в Signal Desktop выявил ИБ-специалист Нэйтан Сёчи (Nathaniel Suchy).

Дело в том, что во время установки Signal Desktop создается зашифрованная БД SQLite (db.sqlite), где хранятся сообщения пользователя. Ключ шифрования от этой БД генерируется мессенджером автоматически, без взаимодействия с пользователем. Данный ключ требуется Signal Desktop каждый раз, когда нужно открыть базу. И, как выяснил эксперт, он хранится локально, в отрытом виде. На ПК в файле %AppData%\Signal\config.json и на Mac в ~/Library/Application Support/Signal/config.json.

Если открыть файл config.json даже с помощью обычного Блокнота, можно обнаружить следующее:


Сучи поясняет, что вся переписка пользователя в итоге может оказаться в руках любой третьей стороны, у которой есть доступ к компьютеру. При этом исследователь убежден, что в теории проблему легко исправить: достаточно просто попросить пользователя ввести пароль и использовать его для ключа шифрования.
simko likes this.
generator вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 11:38. Часовой пояс GMT.

Bes73 Bes73
garant
garant

Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2019, vBulletin Solutions, Inc. Перевод:
Search Engine Optimization by vBSEOzCarot
MoneyMaker.hk