Эксперты по информационной безопасности Жан-Филипп Омассон и Маркус Вервье обнаружили сразу три уязвимости в рекомендованном Эдвардом Сноуденом защищенном мессенджере Signal для Android-устройств, сообщает Securitylab.
Одна из уязвимостей позволяет атакующему добавлять к вложениям в зашифрованных сообщениях любые данные, включая вредоносные. Злоумышленник может проэксплуатировать её, отправив файл размером не менее 4 ГБ. Уязвимость можно использовать только вместе с возможностью осуществлять мониторинг данных, которые передаются пользователями (например, получив доступ к серверу Signal).
Вторая уязвимость позволяет удаленно выполнить код на целевом устройстве, а третья — удалённо вызвать сбой в работе приложения.
Жан-Филипп Омассон отметил, что обнаруженные проблемы демонстрируют: идеальным мессенджер назвать нельзя, особенно учитывая позиционирование Signal.
Уязвимости уже исправлены, но пока лишь в коде на GitHub. Обновлённая версия приложения ещё не загружена в Google Play Store, а это значит, что многие пользователи могут столкнуться с использованием одной из указанных проблем злоумышленниками.
Signal – бесплатное приложение с открытым исходным кодом от Open Whisper System, предназначенное для обмена текстовыми сообщениями и осуществления голосовых звонков. Передаваемые данные защищены с помощью сквозного шифрования. Приложение доступно для Android- и iOS-устройств.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.