Переписка пользователей популярного мессенджера оказалась под угрозой

В мессенджере Signal, признанном одним из самых защищенных в мире, обнаружили уязвимость, которая ставит под угрозу конфиденциальность переписки его пользователей. Как рассказали исследователи в своем блоге 403forbiddenblog, брешь позволяет злоумышленникам получать доступ к переписке жертвы. Представители мессенджера не смогли объяснить причину появления уязвимости.

По словам экспертов, проблема связана с обновлением кода безопасности. Каждый чат в популярном мессенджере имеет свой собственный код, который изменяется, если один из участников беседы меняет устройство, с которого он использует приложение, или переустанавливает его. В Signal утверждают, что такая система проверки обеспечивает конфиденциальность данных и защищает пользователей от сторонних атак.

Один из исследователей приобрел новый телефон и обнаружил, что при использовании на нем Signal код безопасности не изменился, а его собеседники не получили уведомления о том, что он перешел на новое устройство. Затем эксперты провели эксперимент: оказалось, что такая же проблема возникала и на многих других устройствах, работающих на операционных системах Android, iOS, Windows, macOS и Linux. В ряде случаев коды безопасности не изменялись при переустановке приложения и при его установке на новое устройство.

По словам специалистов, отсутствие нового кода безопасности ставит конфиденциальность переписки под угрозу: если он не изменился, злоумышленник может, при определенных обстоятельствах, получить доступ к перепискам жертвы и маскироваться под нее.

Эксперты добавили, что обнаружили уязвимость в мае 2021 года. Они связались с представителями Signal. Сначала те отрицали наличие уязвимости. Затем они обновили страницу поддержки мессенджера и добавили туда информацию, которую обнаружили исследователи. В Signal не смогли объяснить причину возникновения уязвимости и тот принцип, по которому код либо обновляется, либо нет.