16 мая 2018, 18:07
Эксперт в разработке мессенджеров Альфредо Ортего сообщил в Твиттере об особой уязвимости в приложении для передачи зашифрованных сообщений Signal, разработанном для OC Windows и Linux. Предполагается, что проблема появилась из-за действий хакеров, отправлявших специально созданную вирусную ссылку, которая действует в обход пользователей.
Сбой был обнаружен случайно экспертами.
Они переписывались в Signal, и один из них передал ссылку уязвимого сайта с полезной нагрузкой XSS в URL.
Последующий анализ позволил обнаружить уязвимость в функции, обрабатывающей общие ссылки. Это позволило злоумышленникам вводить вирусный код HTML/JavaScript в теги iFrame: аудио, видео и изображения.
Данная информация не подтверждена, но если такой взлом имел место, то он мог позволить хакерам влиять на системные команды и открывать доступ к конфиденциальным данным, например к ключам дешифрования.
Нарушение было немедленно исправлено. Примечательно, что в предшествующих версиях мессенджера Signal имелось исправление для такой уязвимости, но по неясным причинам оно отсутствовало в версии от 10 апреля 2018 года.
Журнал RUБЕЖ
Пожарная безопасность
Транспортная безопасность
