В Signal для iOS обнаружена возможность обхода аутентификации
Исследователь безопасности под псевдонимом n0sign4l обнаружил опасную уязвимость (CVE-2018-9840) в версии мессенджера Signal для iOS. Проблема позволяет обойти процесс аутентификации для доступа к приложению.
Уязвимость затрагивает все версии приложения до 2.23.1.1. При определенной последовательности действий проблема позволяет обойти защиту паролем и TouchID. В частности, в версиях 2.23.0.14 и ниже нужно выполнить следующие действия: открыть Signal, нажать кнопку отмены, нажать кнопку «Домой», а затем еще раз открыть Signal. Таким образом можно поучить доступ к главному окну приложения без прохождения аутентификации.
В версии 2.23.1.1 необходимо выполнить несколько другую последовательность действий: открыть мессенджер Signal, нажать кнопку отмены, нажать кнопку «Домой», дважды нажать на кнопку «Домой», закрыть приложение Signal, снова открыть приложение Signal, нажать кнопку отмены, нажать кнопку «Домой», а затем снова открыть Signal.
Уязвимость была исправлена в версии 2.23.2.
Видео с демонстрацией атаки:
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
