Luka w komunikatorze Signal zagrażała nawet kluczom szyfrującym rozmowy

Strona główna Aktualności

O autorze

Specjaliści odkryli poważną lukę w popularnym komunikatorze Signal, cenionym za szyfrowanie end-to-end między rozmawiającymi. Podatne są aplikacje desktopowe dla Windowsa i Linuksa. Specjalnie spreparowana wiadomość pozwala na zdalny atak i wykonanie kodu na maszynie odbiorcy bez jego wiedzy.

Lukę odkrył Alfredo Ortega, konsultant ds. bezpieczeństwa z Argentyny. Na Twitterze zamieścił film z przykładowym atakiem. Po wysłaniu wiadomości na komputerze odbiorcy wykona się skrypt napisany w JavaScripcie. Użytkownik tego komputera nie musi wykonywać żadnych czynności, co zdejmuje z atakujących potrzebę bawienia się w inżynierię społeczną.

Luka pozwala na ataki kwalifikowane jako zdalne wykonanie kodu i prawdopodobnie ross-site scripting (XSS). W teorii możliwe jest wstrzyknięcie złośliwego kodu do systemu, na którym działa podatna wersja komunikatora. Wstrzyknięcie JavaScriptu może otworzyć drogę do wykonania natywnego kodu w systemie, choć nie zostało to jeszcze potwierdzone przez analityka. Ortega z kolegami bada także kwestię uszkodzenia stosu. największym zagrożeniem jest oczywiście wykradanie kluczy szyfrujących rozmowy użytkowników Signala.

Ortega informuje także, że wykorzystanie jego znaleziska wymaga znajomości także dwóch innych luk, znalezionych przez jego kolegów. Błąd jest relatywnie nowy i według innego analityka wynika z tego, że programiści Signala zapomnieli po co w pewnym miejscu znajduje się wyrażenie regularne.

Nie znamy jeszcze szczegółów podatności komunikatora, ale wiemy, że Open Whisper Systems już ma łatkę. Na jej wydanie wystarczyło kilka godzin. Signal 1.10.1 nie jest już podatny na ten atak, podobnie jak 1.11.0-beta.3. Warto więc zadbać o aktualizację, jeśli jeszcze nie macie tej wersji.

Nie możemy być pewni, czy występuje tylko w kodzie Signala, czy także w popularnym frameworku Electron, z którego korzysta komunikator. Jeśli problem dotyczy także Electrona, zagrożonych jest mnóstwo aplikacji, na czele ze Skypem, Slackiem, Twitchem i GitHubem. Na stronie Electrona wymienionych zostało w sumie 575. Nie ma też pewności, czy wszystkie podatności użyte w prezentowanym powyżej ataku zostały unieszkodliwione – być może istnieje inna droga do podobnych efektów.

© dobreprogramy