Дослідники безпеки зробили цікаве відкриття, використовуючи месенджер Signal на різних платформах. Коли користувач або хтось зі списку його контактів переустановлює додаток або переходить на новий пристрій унікальний код безпеки Signal, що захищає розмови і листування між ними, не завжди змінюється.
Код безпеки – це функція Signal, що дозволяє користувачам перевіряти безпеку своїх повідомлень і дзвінків. У користувача месенджера і кожного його контакту є унікальний номер безпеки, який грає роль відбитка, який допомагає обом контактам перевіряти конфіденційність повідомлень.
Один з контактів може відкрити програму, ввести ім’я другого контакту і натиснути на “Підтвердити код безпеки”, і відобразиться код, за допомогою якого можна перевірити справжність листування між двома цими контактами. Код відображається у вигляді як набору цифр, так і QR-коду. Передбачається, що після зміни номера телефону, перевстановлення програми або переходу на інший пристрій він повинен змінюватися. Проте, як з’ясували дослідники безпеки Келлі Каоудіс, Джон Джексон, Sick Codes і Роберт Вілліс, код змінюється не завжди.
Першою це виявила Келлі Каоудіс. Її колеги вирішили перевірити це відкриття, і виявилося, що на платформах Linux, OSX, Android, iOS і Windows після видалення і перевстановлення Signal або після зміни пристрою коди безпеки не змінювалися.
Каоудіс написала розробникам додатку про проблему, і вона містичним чином зникла (на думку Каоудіс, проблема була виправлена з виходом патча). Також, схоже, була відредагована документація – зокрема, зникла згадка про те, що після переустановлення програми або зміни пристрою код безпеки повинен змінюватися.
“Найбільш поширені сценарії, коли відображається повідомлення з кодом безпеки, – це коли контакт перемикається на новий телефон або повторно встановлює Signal, але ці дії не завжди приводять до зміни коду безпеки”, – повідомляється в поточній версії документації додатки.
З метою з’ясувати, за яких обставин код безпеки змінюється, і за яких ні, співробітники BleepingComputer звернулися до Signal. У відповідь розробники програми заявили, що в його вихідний код не було внесено жодних змін, що стосуються кодів безпеки.
У свою чергу, віце-президент Signal з технічних питань Джим О’Лірі повідомив, що всі недавні зміни є частиною звичайних функціональних оновлень, і пояснив, чому коди безпеки не змінюються ні за яких обставин.
“Всім привіт! Signal не почав таємну розсилку виправлень, тому що тут нема чого виправляти. П’ятничний реліз є частиною наших регулярних оновлень функціоналу і покращень додатку. За задумом, коди безпеки не змінюються під час передачі пристрою або під час зміни пов’язаного пристрою, тому що ключовий матеріал не змінюється. Ми пояснювали це кілька разів і навіть додавали в нашу довідкову статтю/FAQ. Тут нічого не змінилося”, – повідомив О’Лірі в Twitter.
Генеральний директор Signal Моксі Марлінспайк також втрутився в переписку в Twitter з метою пролити світло на обставини, під час яких коди безпеки не змінюються.
“Ви пробували встановити Signal на новий пристрій за допомогою device transfer, і спробували циклічно включити пов’язаний пристрій. Це не призвело до появи попередження про зміну коду безпеки, тому що основний ключовий матеріал не змінився, тож про що попереджати”, – пояснив Марлінспайк.
Під ключовим матеріалом Марлінспайк має на увазі технологію, що лежить в основі кодів безпеки і того, як вони генеруються.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як виявити та чому краще не сперечатися з “тролями”? ПОРАДИ
Правила безпеки дітей в Інтернеті
Як захистити підлітків від інтернет-шахраїв? ПОРАДИ
До речі, Google планує ускладнити Android-додаткам відстеження користувачів. Компанія анонсувала зміни в те, як обробляються унікальні ідентифікатори пристроїв, що дозволяють відстежувати їх між додатками.
Також Apple має намір випустити оновлення для своїх пристроїв, після якого вони дозволять користувачам дізнаватися, яку саме інформацію про них збирають додатки.
Microsoft детально розповість про “наступне покоління Windows” на спеціальному заході, який відбудеться в кінці цього місяця. Компанія почала розсилку запрошень на захід, який буде повністю присвячено програмній платформі Windows і почнеться о 18:00 (за київським часом) 24 червня.
Окрім цього, зловмисники поширюють шкідливе ПЗ під виглядом популярних Android-додатків від відомих компаній. Підроблений плеєр VLC, антивірус Касперського, а також підроблені додатки FedEx і DHL встановлюють на пристроях жертв банківські трояни Teabot або Flubot, вперше виявлені раніше в цьому році.