Давняя уязвимость ключа шифрования Signal в настольных приложениях компании наконец-то исправлена. Исправление полностью защитит приложение Mac, но компания сможет предложить только компромиссное решение для версии Windows …
Настольные приложения Signal для Mac и Windows хранят сообщения в зашифрованной базе данных SQLite, ключ которой автоматически генерируется приложением без участия пользователя.
Проблема в том, что ключ шифрования хранится на машине в локальном текстовом файле. Любая вредоносная программа, способная читать незашифрованные локальные файлы, может получить ключ и, следовательно, расшифровать сообщения.
Исследователи безопасности указывали на эту уязвимость как минимум шесть лет, а Натаниэль Сухи призывал вместо этого шифровать базу данных с помощью пароля пользователя.
Signal необъяснимо отклонил звонки, ошибочно заявив, что кто-то должен был получить полный доступ к Mac или Windows PC, чтобы прочитать ключ. Это не так, поскольку существуют примеры вредоносных программ, способных читать простые текстовые файлы без полного аутентифицированного доступа к машине.
Шесть лет все было тихо, пока не вмешался Илон Маск. Его заметило сообщество, и компания нанесла ответный удар, но его поддержали исследователи мобильной безопасности Талал Хадж Бакри и Томми Майск.
Писк Компьютера сообщается, что это наконец убедило компанию исправить проблему после того, как разработчик предложил им решение.
В апреле независимый разработчик Том Плант создал запрос на объединение кода, который использует API SafeStorage компании Electron для дополнительной защиты хранилища данных Signal от офлайн-атак.
«В качестве простого способа смягчения я реализовал API safeStorage от Electron, чтобы по возможности шифровать ключ с помощью API платформы, таких как DPAPI в Windows и Keychain в macOS», — пояснил Плант в запросе на слияние. […]
Разработчик Signal наконец ответил, что они реализовали поддержку safeStorage от Electron, которая вскоре станет доступна в будущей бета-версии.
Использование Связки ключей на Mac полностью защищает ключ шифрования, в то время как решение для Windows все еще может быть потенциально скомпрометировано некоторыми вредоносными программами, но будет значительно безопаснее, чем сейчас.
Фото Эрика Маклина на Unsplash