Długotrwały Sygnał luka w zabezpieczeniach klucza szyfrującego w aplikacjach desktopowych firmy jest w końcu naprawiana. Poprawka zostanie w pełni bezpieczne ten Prochowiec app, ale firma będzie mogła zaoferować rozwiązanie kompromisowe jedynie dla wersji Windows…
Aplikacje komputerowe Signal zarówno na systemy Mac, jak i Windows przechowują wiadomości w zaszyfrowanej bazie danych SQLite, której klucz jest automatycznie generowany przez aplikację, bez konieczności udziału użytkownika.
Problem polega na tym, iż klucz szyfrowania jest przechowywany na maszynie w lokalnym pliku tekstowym. Każde złośliwe oprogramowanie, które potrafi odczytać niezaszyfrowane pliki lokalne, może uzyskać klucz, a zatem odszyfrować wiadomości.
Badacze ds. bezpieczeństwa wskazują na tę lukę w zabezpieczeniach od co najmniej sześciu lat, a Nathaniel Suchy wezwał do zaszyfrowania bazy danych hasłem użytkownika.
Signal niewytłumaczalnie odrzucił połączenia, błędnie twierdząc, iż ktoś musiałby uzyskać pełny dostęp do komputera Mac lub Windows, aby odczytać klucz. Tak nie jest, ponieważ istnieją przykłady złośliwego oprogramowania, które potrafi odczytać pliki tekstowe bez pełnego uwierzytelnionego dostępu do maszyny.
Przez sześć lat było cicho, aż do Elon Musk zabrał głos.Znana była przez społeczność i firma odpowiedziałaAle był wspierany przez badaczy bezpieczeństwa urządzeń mobilnych Talala Haj Bakry’ego i Tommy’ego Myska.
Pikający komputer informuje, iż ostatecznie przekonało to firmę do rozwiązania problemu po tym, jak programista zaproponował im rozwiązanie.
W kwietniu niezależny programista Tom Plant złożył wniosek o scalenie kodu wykorzystującego interfejs API SafeStorage firmy Electron w celu lepszego zabezpieczenia magazynu danych Signal przed atakami offline.
„Jako proste rozwiązanie zaimplementowałem interfejs API safeStorage firmy Electron, aby okazjonalnie szyfrować klucz dzięki interfejsów API platformy, takich jak DPAPI w systemie Windows i Keychain w systemie macOS” – wyjaśnił Plant w prośba o scalenie […]
Deweloper Signal w końcu odpowiedział iż wdrożyli obsługę bezpiecznego magazynu Electron, który niedługo będzie dostępny w nadchodzącym Wersja beta.
Użycie Keychain na komputerze Mac zapewnia pełne bezpieczeństwo klucza szyfrującego. Natomiast rozwiązanie dla systemu Windows przez cały czas może być potencjalnie narażone na ataki złośliwego oprogramowania, jednak będzie znacznie bezpieczniejsze niż obecnie.
zdjęcie zrobione przez Erik McLean NA Odsłoń
FTC: Używamy linków afiliacyjnych generujących dochód. Więcej.
