چاپ        ارسال به دوست

آسیب پذیری نرم‌افزار پیام رسان دسکتاپ Signal

آسیب پذیری نرم‌افزار Signal اطلاعات رمزگذاری شده را باز می‌کند. اخیرا کشف شده است که یک برنامه کاربردی به نام "Signal Desktop" کلیدهای رمزگشایی پیام‌ها به‌صورت متن ساده و رمزنگاری‌نشده ذخیره می‌شود که این مسأله می‌تواند آن‌ها را در اختیار نفوذگران قرار دهد.

سیگنال یکی از برنامه های پیام رسانی در دنیا می باشد که مدت هاست به عنوان امن ترین مسنجر دنیا معرفی شده است و دارای امکانات امنیتی فوق العاده بالایی در امر پیام رسانی می‌باشد.

با نصب برنامه Signal Desktop، یک پایگاه داده SQLite رمزگذاری شده که به صورت "db sqlite" شناخته می‌شود، همراه با آن نصب می‌گردد.

ایجاد کلید رمزگذاری شده برای باز کردن هربار پایگاه‌داده ضروری است و به همین خاطر این کلید در دستگاه‌های عمومی ویندوز به فرمت متن ساده در محل %AppData%\signal\config.json و در دستگاه‌های مک به صورت ~/Library/Application Support/Signal/config.json ذخیره می‌شود. این کلید پایگاه داده به راحتی و با تلاش کمی قابل دسترسی توسط شخص ثالث می‌باشد.

این موضوع توسط یک محقق که معتقد بود این خطای رویه‌ای باعث شده تا کل پایگاه داده محرمانه کاربر را افشا کند و در صورت دسترسی به دستگاه، فرصت بهره‌برداری را به نرم افزارهای مخرب و مهاجمان اینترنتی را می‌دهد.

تصویری از دسترسی یکی از کاربران به پایگاه داده

اگر از کاربران خواسته شود که یک رمز عبور برای کلید رمزگذاری شده قرار دهند، این مشکل به راحتی حل می‌شود. تنها نکته‌ای که در این روش تولید کلید رمزگذاری مشاهده شده است، این است که اگر یک کاربر گذرواژه خود را فراموش کند یا از دست دهد، داده‌ها برای همیشه از دست خواهد رفت.

صاحبان Signal Desktop هنوز اظهار نظری در این مورد منتشر نکرده‌اند.

تاریخ انتشار: ۱۰/۲۷/۲۰۱۸

منبع:...https://myhackernews.com


 دسته‌ها: آسیب پذیری ها


١٧:٠٠ - سه شنبه ١٥ آبان ١٣٩٧    /    شماره : ١٨٨٦٧    /    تعداد نمایش : ٥١



خروج