В защищенном мессенджере Signal обнаружены сразу три уязвимости

ИБ-эксперты Жан-Филипп Омассон (Jean-Philippe Aumasson) и Маркус Вервье (Markus Vervier) обнаружили сразу три уязвимости в рекомендованном Эдвардом Сноуденом защищенном мессенджере Signal для Android-устройств. Уязвимости уже исправлены, однако обновленная версия приложения еще не загружена в Google Play Store и в настоящее время доступна только на GitHub, а значит, миллионы пользователей подвергаются риску.

Одна из обнаруженных исследователями уязвимостей позволяет атакующему добавлять произвольные данные (в том числе вредоносные) к вложениям в зашифрованных сообщениях. Злоумышленник может проэксплуатировать ее, отправив во вложении файл очень большого размера (минимум 4 ГБ), тем самым вызвав целочисленное переполнение. Злоумышленник сможет использовать данную уязвимость, только предварительно взломав сервер Signal или каким-либо другим образом получив возможность осуществлять мониторинг передаваемых пользователями данных.

Вторая уязвимость позволяет удаленно выполнить код на целевом устройстве, а третья – удаленно вызвать сбой в работе приложения. Как пояснил Омассон, обнаруженные исследователями проблемы с безопасностью не являются катастрофическими, однако демонстрируют, что, как и другие программы, Signal неидеален.

Signal – бесплатное приложение с открытым исходным кодом от Open Whisper System, предназначенное для обмена текстовыми сообщениями и осуществления голосовых звонков. Передаваемые данные защищены с помощью сквозного шифрования. Приложение доступно для Android- и iOS-устройств.