Signal Desktop хранит ключ шифрования сообщений в открытом виде

Signal Desktop хранит ключ шифрования сообщений в открытом виде

Signal Desktop хранит ключ шифрования сообщений в открытом виде

В десктопной версии приложения Signal обнаружена ошибка, которая затрагивает процесс шифрования хранящихся локально сообщений. Этот баг оставляет сообщения открытыми для атакующего.

После установки Signal Desktop он создает зашифрованную базу данных SQLite, которая называется db.sqlite, она используется для хранения пользовательских сообщений. Ключ шифрования для этой БД генерируется программой автоматически, без какого-либо участия пользователя.

Вот пример зашифрованной БД, открытой в программе Блокнот:

Ключ шифрования требуется для каждой попытки Signal Desktop открыть базу данных, он хранится в виде открытого текста в локальном файле по адресу %AppData%\Signal\config.json (в macOS — ~/Library/Application Support/Signal/config.json).

При открыти файла config.json, его содержимое доступно любому желающему:

По словам эксперта Натаниэля Сачи, который обнаружил проблему, любой атакующий или вредонос может воспользоваться ключом, который хранится в открытом виде.

На данный момент разработчики Signal никак не прокомментировали проблему.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Атаки с ClickFix добрались до России: вредонос — в политическом меме

Около 30 российских компаний подверглись кибератакам в мае — начале июня. Это первые случаи в России, когда злоумышленники применили методику ClickFix, которая раньше использовалась только против зарубежных организаций. ClickFix — это такой приём, при котором сам пользователь по сути запускает вредоносный код, даже не подозревая об этом.

Как объясняют специалисты BI.ZONE, сначала жертве приходит письмо якобы от силового ведомства — внутри PDF-документ, но текст в нём намеренно заблюрен. Чтобы его якобы «расшифровать», просят подтвердить, что ты не робот. На деле это всего лишь приманка.

После клика по кнопке пользователя перебрасывают на ещё одну страницу с фейковой CAPTCHA. Там он снова нажимает «Я не робот» — и в этот момент незаметно копируется PowerShell-скрипт в буфер обмена. Далее жертве объясняют, что нужно ввести несколько команд на компьютере, чтобы открыть документ. И вот человек сам, шаг за шагом, запускает скрипт: Win + R, Ctrl + V, Enter — и вредонос начал свою работу.

Что происходит дальше: скрипт скачивает с удалённого сервера PNG-картинку, в которой скрыт вредоносный код. Это так называемый Octowave Loader — загрузчик, маскирующий вредоносные компоненты среди легитимных файлов. Один из файлов содержит вредонос, спрятанный с помощью стеганографии. В итоге на устройство попадает троян удалённого доступа (RAT), который раньше нигде не описывался.

Этот RAT сначала собирает базовую информацию о системе, а потом даёт атакующим полный удалённый доступ к устройству — они могут выполнять команды, запускать процессы и так далее. Причём картинку-жертва не видит: это политический мем, но он не открывается, просто используется как носитель вредоносного кода.

Исследователи предполагают, что за атакой стоит шпионская группа. Об этом говорит и использование собственного RAT, и маскировка под госорганы. Всё это характерно для кибершпионажа.

Атаки начинались с обычных фишинговых писем. Чтобы защититься от подобных сценариев, важно внимательно относиться к вложениям, особенно если в них просят что-то ввести или запустить. И, конечно, помогает отслеживание подозрительной активности — особенно запусков PowerShell и других системных компонентов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru