Технологии

В популярном мессенджере нашли опасный баг: что нужно знать

Злоумышленники могут воспользоваться конфиденциальной информацией пользователя.

В компьютерной версии мессенджера Signal обнаружили баг, с помощью которого хакеры завладеть доступом к кэшу удаленных вложений.

Об этом сообщает John Jackson.

Уязвимость актуальна для версии Signal 6.2.0 и более ранних сборок, которые вышли на Windows, Linux и MacOS. Эксперты обнаружили сразу два бага, которые получили идентификаторы CVE-2023-24068 иCVE-2023-24069.  Используя их, злоумышленник может получить доступ к конфиденциальным вложениям, отправленным в сообщениях, а также подменить их.

Известно, что ПК-версия Signal сохраняет вложения в каталоге ~\attachments.noindex в незашифрованном виде. Если пользователь удалил их из диалога, то происходит их автоматическое удаление из этого каталога.

Однако, если на сообщение с вложением собеседник отправил ответ с цитированием, то локальная папка продолжает хранить его открытом виде, даже если оно исчезло из интерфейса.

"Злоумышленнику, который может получить доступ к этим файлам, даже не нужно будет расшифровывать их, и нет регулярного процесса очистки кэша, поэтому неудаленные файлы просто находятся в незашифрованном виде в этой папке", – рассказал специалист Джон Джексон.

Более того, недобросовестный пользователь может подменить хранящийся в кэше файл. Он не заменится автоматически у собеседников, потому что у каждого клиента Signal Desktop есть свой локальный кэш.

Если объект потенциального взлома после подмены отправит существующую ветку в другие чаты, то в ней будут подмененные файлы, а не исходные. Таким образом Signal Desktop не осуществляет проверку изменений в кэшированных ранее файлах.

Однако не следует полагать, что всем пользователям грозит опасность. Для использования этой уязвимости нужно выполнить многие дополнительные действия, а также должно совпасть сразу несколько факторов.

Цель атаки злоумышленника должна пользоваться Signal Desktop, а не только приложением для мобильного устройства. Хакер будет вынужден взламывать компьютер жертвы для получения возможности просмотра файлов на ПК.

Для этого потребуется пользоваться другими методами, которые могут попросту оказаться неэффективными. Тем не менее не следует исключать случайного совпадения. Пока что авторы Signal не прокомментировали обнаружение этого бага.

"Курсор" рассказывал о том, как уберечь свой смартфон от надоедливого спама.

Автор материала:
Рами Мадрих

Недавние новости

Нетаниягу пытается срочно предотвратить катастрофу в Ликуде - мнение

Биньямин Нетаниягу предпринимает отчаянные попытки сгладить конфликт в партии Ликуд.

1 минута назад

Почему многие известные бренды не выжили на израильском рынке

Международные ресторанные сети часто терпят убытки на израильском рынке. Местные жители выбирают привычную еду и…

16 минут назад

Как высокий уровень холестерина можно увидеть по глазам

Повышенный холестерин зачастую не имеет симптомов, потому определить его можно лишь по сопутствующим симптомам. Например,…

26 минут назад

Покушение Ирана на Трампа было сорвано благодаря случайности - NYT

Дональд Трамп должен был стать целью атаки со стороны Ирана, однако планы потерпели неудачу.

35 минут назад

Шесть нюансов поведения родителей, влияющих на личность ребенка

Дети воспитываются не родительскими нотациями, а повседневными бытовыми привычками и реакциями взрослых, которые те даже…

41 минута назад

Как израильтянам купить дешевые авиабилеты в июле

Июльское затишье на туристическом рынке открыло возможности для выгодных поездок. Купить билеты сейчас можно по…

49 минут назад