В защищенном мессенджере Signal обнаружены сразу три уязвимости
ИБ-эксперты Жан-Филипп Омассон (Jean-Philippe Aumasson) и Маркус Вервье (Markus Vervier) обнаружили сразу три уязвимости в рекомендованном Эдвардом Сноуденом защищенном мессенджере Signal для Android-устройств. Уязвимости уже исправлены, однако обновленная версия приложения еще не загружена в Google Play Store и в настоящее время доступна только на GitHub, а значит, миллионы пользователей подвергаются риску.
Одна из обнаруженных исследователями уязвимостей позволяет атакующему добавлять произвольные данные (в том числе вредоносные) к вложениям в зашифрованных сообщениях. Злоумышленник может проэксплуатировать ее, отправив во вложении файл очень большого размера (минимум 4 ГБ), тем самым вызвав целочисленное переполнение. Злоумышленник сможет использовать данную уязвимость, только предварительно взломав сервер Signal или каким-либо другим образом получив возможность осуществлять мониторинг передаваемых пользователями данных.
Вторая уязвимость позволяет удаленно выполнить код на целевом устройстве, а третья – удаленно вызвать сбой в работе приложения. Как пояснил Омассон, обнаруженные исследователями проблемы с безопасностью не являются катастрофическими, однако демонстрируют, что, как и другие программы, Signal неидеален.
Signal – бесплатное приложение с открытым исходным кодом от Open Whisper System, предназначенное для обмена текстовыми сообщениями и осуществления голосовых звонков. Передаваемые данные защищены с помощью сквозного шифрования. Приложение доступно для Android- и iOS-устройств.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш