Провалы Signal или почему это не самый безопасный мессенджер

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.646
Репутация
11.595
Реакции
61.567
RUB
50
История Signal.


Был создан в 2014 году Мокси Марлинспайком и Брайаном Эктоном (соучредитель WhatsApp). Идея создания Signal возникла у Марлинспайка и Майкла Карриера, которые стремились разработать приложение, обеспечивающее безопасное и зашифрованное общение. Signal использует протокол шифрования end-to-end. Был разработан некоммерческим фондом Signal Foundation.

Signal стал популярным после того, как Эдвард Сноуден рекомендовал его в качестве надежного средства для защищенного общения в 2013 году.

Signal.jpg


Что внутри?

Протокол TextSecure: Signal использует алгоритм Double Ratchet, который применяется двумя сторонами для обмена зашифрованными сообщениями на основе общего секретного ключа. Стороны получают новые ключи для каждого сообщения Double Ratchet таким образом, что более ранние ключи не могут быть вычислены из более поздних. Стороны также посылают открытые значения Диффи-Хеллмана, прикрепленные к их сообщениям. Результаты вычислений Диффи-Хеллмана смешиваются с полученными ключами, так что более поздние ключи не могут быть вычислены из более ранних.


О проблемах.

С помощью анализатора UFED (Universal Forensics Extraction Device) можно получить даже номера телефонов и фотографии контактов Signal - . В январе 2023 года были исследованы две уязвимости в десктопном клиенте мессенджера — CVE-2023-24068(Эта уязвимость позволяла злоумышленнику изменять или заменять вложения разговора в каталоге) и CVE-2023-24069(Windows/Mac). Все перечисленные способы применяются только ЛОКАЛЬНО.

Также были обнаружены проблемы с функцией "Исчезающие сообщения" для Android 4.24.8, в теории они могли был заполучить и восстановить. Другие уязвимости типа CVE-2022-28345, которая представляет собой уязвимость внедрения RTLO(Эта уязвимость позволила злоумышленнику подделать внешний вид URL-адреса), и CVE-2020-5753 (произвольно удаленно выполнять код на устройстве жертвы без какого-либо взаимодействия с пользователем.)

В 2019 году Signal был мишенью компании FinFisher которая продавала своё ПО для правительств. Уязвимость заключалась в том, как Signal обрабатывал вложения файлов. - ,

Хакерам FinFisher удалось создать вредоносный вложенный файл, который воспользовался уязвимостью и предоставил им контроль над компьютером пользователя.

В 2021 году выяснилось что у ФБР есть инструмент для доступа к частным сообщениям Signal "зашифрованные сообщения могут быть перехвачены программным элементом с устройств iPhone в режиме «частичной AFU (после первой разблокировки)»" - локальная уязвимость ( )

ca6b492e50c963e82a7d4.jpg

После утечки ФБР стало известно, что выдаёт Signal

В Twitter была новость, что из-за проблем с правоохранительными органами, Signal нашёл компромисс и начал собирать IP-адреса отправителей, в сочетании с идентификаторами получателей и временем сообщения

«Это настоящий шаг вперед», — говорит криптограф Университета Джонса Хопкинса Мэтью Грин. «Служба по-прежнему будет раскрывать IP-адреса, но они, вероятно, не регистрируются Signal, тогда как имена пользователей отправителей, вероятно, были, по крайней мере, для недоставленных сообщений».

Signal использует Amazon Web Services для хостинга и заявляет, что все еще работает над поиском жизнеспособного способа шифрования IP-адресов и других метаданных, которые теоретически могли бы позволить злоумышленнику выполнять определенные типы анализа пользовательского трафика.


Политика конфиденциальности.

  • Третьи лица. Мы сотрудничаем с третьими лицами для предоставления некоторых наших Услуг. Например, наши сторонние поставщики отправляют код подтверждения на ваш номер телефона, когда вы регистрируетесь для получения наших Услуг. А также с передачей вашей зашифрованной информации и метаданных в США и другие страны, где у нас есть или мы используем объекты, поставщиков услуг или партнеров. Примерами могут служить сторонние поставщики, отправляющие вам код подтверждения и обрабатывающие ваши заявки в службу поддержки."
  • "Signal также оставляет за собой право передавать ваши данные соответствующим юридическим органам по официальному запросу."
ЦРУ.

По разным утверждением есть теория что Signal был спонсирован ЦРУ, точнее их дочерней компанией "Radio Free Asia" и составило не менее 3 миллионов долларов за четыре года с 2013 по 2016 год, также Signal получал финансирование от фонда американского правительства Open Technology Fund, что подтверждает Мокси Марлинспайк, один из создателей приложения в 2023 прекратилось финансирование. Слова Мокси:

"Signal не обязан отчитываться ни ФБР, ни ЦРУ"

Сигнал всячески пытается исправлять ошибки и уязвимости, но вероятно, существуют и другие уязвимости, которые еще не обнаружены.


 
  • Теги
    double ratchet signal мессенджер signal
  • Сверху Снизу