Десктопный Signal открывает возможность для шпионажа и кибератак

Десктопный Signal открывает возможность для шпионажа и кибератак

Десктопный Signal открывает возможность для шпионажа и кибератак

Изъяны, выявленные Джоном Джексоном (John Jackson) в десктопных клиентах Signal, позволяют получить незашифрованные конфиденциальные данные или подменить содержимое кеша. Эксплойт в обоих случаях требует локального доступа, поэтому вендор не считает данные проблемы уязвимостями.

Тем не менее обеим найденным ошибкам был присвоен CVE-идентификатор. Согласно блог-записи эксперта, уязвимости возникли из-за неправильной работы IM-приложения с кешем. Затронуты все версии Signal для Windows, Linux и macOS, в том числе новейшая 6.2.0.

Уязвимость CVE-2023-24069 грозит раскрытием конфиденциальной информации. Как оказалось, все отправленные в чат вложения клиент временно сохраняет в папке Signal\attachments.noindex\, притом в незашифрованном виде. После ответа на сообщение с аттачем последний автоматом удаляется из кеша, но очистка, как выяснил Джонсон, проводится недостаточно хорошо.

Исследователю удалось восстановить прокомментированную в группе картинку на своем Windows-компьютере, изменив расширение в свойствах файла и добавив .png (в macOS и Linux это работает точно так же: расширение меняется на .png). Примечательно, что при удалении аттача из чата самим автором публикации файл исправно вычищается из папки attachments.noindex.

 

Эксплойт, по словам эксперта, позволяет злоумышленнику с локальным доступом к хосту перехватывать сообщения жертвы с целью получения секретных данных (например, паролей к сторонним сервисам). Контрразведчики также смогут скопировать содержимое жесткого диска, изъятого у подозреваемого, и восстановить все аттачи, расшаренные в Signal.

Уязвимость CVE-2023-24068 позволяет незаметно подменить содержимое вложения в папке attachments.noindex, сохранив расширение файла, имя и размер. Причиной появления такой возможности является отсутствие проверки подлинности кешированных файлов.

В результате злоумышленник сможет внедрить во вложение вредоносный код, переслать его в другой чат, и там его загрузят, не подозревая о подвохе. Более того, можно выбрать жертву, часто использующую функцию Forward («переслать сообщение»), дождаться, когда она будет тиражировать новые аттачи в групповых чатах, и спокойно собирать данные о заражении на C2.

Подобная атака пройдет незаметно и для собеседников, доверяющих скомпрометированному источнику, и для самой жертвы. Цепная реакция, по словам Джонсона, будет неспешной, но процесс можно ускорить с помощью Python и компилятора.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России предложили штрафовать за поиск экстремистских материалов и VPN

Ко второму чтению законопроекта №755710-8 предложены поправки, вводящие штрафы за умышленный поиск и получение доступа к «заведомо экстремистским материалам», а также за рекламу VPN-сервисов и других технических средств, позволяющих обходить блокировки.

Поправки внесены в законопроект о внесении изменений в КоАП, изначально касавшийся исключительно регулирования транспортно-экспедиционной деятельности. Документ был принят в первом чтении 20 января 2025 года.

Как сообщает «Интерфакс», предлагается дополнить КоАП РФ новой статьёй 13.53, устанавливающей ответственность за умышленный поиск в интернете «заведомо экстремистских материалов», включённых в соответствующий список, а также за получение доступа к ним, в том числе с использованием VPN. За это предусмотрен штраф для граждан в размере от 3 до 5 тысяч рублей.

Реклама технических средств доступа к информационным ресурсам, доступ к которым ограничен, повлечёт административную ответственность: штраф для граждан составит от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч рублей, для юридических лиц — от 200 до 500 тысяч рублей.

Неисполнение владельцем VPN-сервиса требований по взаимодействию с Роскомнадзором или отказ от подключения к государственной информационной системе учёта ресурсов повлечёт аналогичные штрафы: для граждан — от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч, для юридических лиц — от 200 до 500 тысяч рублей. При повторных нарушениях размер штрафов увеличится в 2–4 раза.

Как отметил юрист Станислав Селезнёв в комментарии для Forbes, ранее в российском законодательстве отсутствовала ответственность за потребление контента. Сведения о поисковых запросах и доступе к сайтам правоохранительные органы могут получать у владельцев поисковых систем и операторов связи — если пользователь не шифрует трафик.

По словам источника Forbes, доказать факт такого правонарушения затруднительно без изъятия устройства.

«К тексту очень много вопросов и замечаний. Можно лишь пожелать, чтобы для думских инициатив были предусмотрены процедуры, аналогичные тем, что применяются к правительственным законопроектам — это могло бы значительно повысить качество депутатских инициатив», — отметил собеседник Forbes из отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru