События

Расширение Keybase раскрывает сообщения пользователей

Десктопное расширение приложения Keybase, призванного обезопасить передачу трафика, не обеспечивает в должной мере заявленное разработчиками сквозное шифрование. В ходе анализа работы расширения создатель инструмента AdBlock Plus Владимир Палант заметил , что передаваемые сообщения видимы стороннему JavaScript коду.

Расширение добавляет опцию «Keybase Chat» на страницы профилей в Facebook, Twitter, GitHub, Reddit и Hacker News. Нажатие на кнопку открывает окно чата, где пользователи могут вводить свои сообщения. Как указано в разделе вопросов и ответов политики Keybase, «готовый текст отправляется локальной копии Keybase, которая шифрует сообщение и отправляет его через чат Keybase». По словам Паланта, в этом и кроется проблема: сообщения не шифруются «по пути» к десктопному расширению. Keybase внедряет соответствующую кнопку, но не изолируется от web-страниц.

«Сообщение Keybase, которое вы вводите на Facebook, ни в коей мере не конфиденциально. JavaScript код Facebook может прочитать текст, в то время как вы вводите его», - пояснил Палант.

Данный факт представляет существенный риск, особенно в случаях, если браузер пользователя или JavaScript код ресурсов скомпрометирован. По словам Паланта, использование iframe помогло бы решить проблему, однако в ответ на предложение специалиста разработчики Keybase сообщили, что это невозможно по техническим причинам.

Палант порекомендовал пользователям деинсталлировать приложение, особенно если оно используется для конфиденциальной коммуникации.

Источник

Автор: Сергей Куприянов
10.09.2018 (08:27)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.