Обнаружены три уязвимости в защищенном мессенджере Signal


SignalВ рекомендованном Эдвардом Сноуденом защищенном мессенджере Signal для Android-устройств было обнаружено сразу три уязвимости. Разработчик уже устранил бреши, однако обновленная версия приложения все еще не загружена в Google Play Store и в настоящее время доступна только на GitHub.

Согласно заявлению исследователей, одна из обнаруженных уязвимостей позволяет атакующему добавлять произвольные данные (в том числе вредоносные) к вложениям в зашифрованных сообщениях.

Для ее эксплуатации необходимо отправить во вложении файл очень большого размера (минимум 4 ГБ), что приведет к целочисленному переполнению. Однако, данную уязвимость можно использовать лишь предварительно взломав сервер Signal или каким-либо другим образом получив возможность осуществлять мониторинг передаваемых пользователями данных.

Вторая уязвимость - позволяет удаленно выполнить код на целевом устройстве, а третья – удаленно вызвать сбой в работе приложения.

Обнаруженные исследователями проблемы с безопасностью не являются катастрофическими.

Напомним, Signal – бесплатное приложение с открытым исходным кодом от Open Whisper System, предназначенное для обмена текстовыми сообщениями и осуществления голосовых звонков. Передаваемые при его помощи данные защищены с помощью сквозного шифрования. Приложение доступно для Android- и iOS-устройств.


Обновлено (16.09.2016 22:02)