Новости цивилизации

Коды безопасности Signal меняются не всегда

Исследователи безопасности сделали интересное открытие, используя мессенджер Signal на разных платформах. Когда пользователь или кто-то из списка его контактов переустанавливает приложение или переходит на новое устройство уникальный код безопасности Signal, защищающий разговоры и переписку между ними, меняется не всегда.
Код безопасности – это функция Signal, позволяющая пользователям проверять безопасность своих сообщений и звонков. У пользователя мессенджера и каждого его контакта есть уникальный номер безопасности, играющий роль отпечатка, который помогает обоим контактам проверять конфиденциальность сообщений.
Один из контактов может открыть приложение, ввести имя второго контакта и нажать на «Подтвердить код безопасности», и отобразится код, с помощью которого можно проверить подлинность переписки между двумя этими контактами. Код отображается в виде как набора цифр, так и QR-кода. Предполагается, что после смены номера телефона, переустановки приложения или перехода на другое устройство он должен меняться, по крайней мере, еще в прошлом месяце в документации Signal говорилось именно так. Тем не менее, как выяснили исследователи безопасности Келли Каоудис (Kelly Kaoudis), Джон Джексон (John Jackson), Sick Codes и Роберт Уиллис (Robert Willis), код меняется не всегда.
Необычное поведения первой обнаружила Келли Каоудис. Ее коллеги решили проверить
это открытие, и оказалось, что на платформах Linux, OSX, Android, iOS и Windows после удаления и переустановки Signal или после смены устройства коды безопасности не менялись.
Каоудис написала разработчикам приложения о проблеме, и она мистическим образом исчезла (по мнению Каоудис, проблема была исправлена с выходом патча). Также, похоже, была отредактирована документация – в частности, исчезло упоминание о том, что после переустановки приложения или смены устройства код безопасности должен меняться.
«Наиболее распространенные сценарии, когда отображается уведомление с кодом безопасности, - это когда контакт переключается на новый телефон или повторно устанавливает Signal, но эти действия не всегда приводят к изменению кода безопасности», - сообщается
в текущей версии документации приложения.
С целью выяснить, при каких обстоятельствах код безопасности меняется, и при каких нет, сотрудники BleepingComputer обратились к Signal. В ответ разработчики приложения заявили, что в его исходный код не было внесено никаких изменений, касающихся кодов безопасности.
В свою очередь, вице-президент Signal по техническим вопросам Джим О'Лири (Jim O'Leary) сообщил, что все недавние изменения являются частью обычных функциональных обновлений, и объяснил, почему коды безопасности не меняются ни при каких обстоятельствах.
«Всем привет! Signal не начал тайную рассылку исправлений, потому что тут нечего исправлять. Пятничный релиз является частью наших регулярных обновлений функционала и улучшений приложения. По замыслу, коды безопасности не меняются при передаче устройства или при изменении связанного устройства, потому что ключевой материал не меняется. Мы объясняли это несколько раз и даже добавляли в нашу справочную статью/FAQ. Здесь ничего не поменялось», - сообщил О'Лири в Twitter.
Генеральный директор Signal Мокси Марлинспайк также вмешался в переписку в Twitter с целью пролить свет на обстоятельства, при которых коды безопасности не меняются.
«Вы пробовали (и сообщили об этом) установить Signal на новое устройство с помощью device transfer, и попытались циклически включить связанное устройство. Это не привело к появлению предупреждения об изменении кода безопасности, потому что основной ключевой материал не изменился, поэтому не о чем предупреждать», - пояснил
Марлинспайк.
Под «ключевым материалом» Марлинспайк подразумевает технологию, лежащую в основе кодов безопасности и того, как они генерируются.
Источник: SecurityLab.ru
Новости Защита информации
Made on
Tilda