Signal исправил 6-летний баг хранения ключей шифрования в открытом тексте

Signal исправил 6-летний баг хранения ключей шифрования в открытом тексте

Signal исправил 6-летний баг хранения ключей шифрования в открытом тексте

Разработчики мессенджера Signal решили наконец повысить безопасность версии приложения для десктопов. В частности, девелоперы поменяли способ хранения ключей шифрования, за что их критиковали с 2018 года.

Ранее при установке Signal на Windows- или macOS-устройства мессенджер создавал зашифрованную SQLite-базу для хранения сообщений пользователя. Эта БД шифровалась с помощью ключа, сгенерированного программой, без пользовательского ввода.

Чтобы программа могла расшифровывать базу и использовать её для хранения данных, нужен ключ шифрования. В случае с логикой работы Signal ключ хранился в виде простого текста в локальном файле по пути «%AppData%\Signal\config.json» в Windows и «~/Library/Application Support/Signal/config.json» — в macOS.

Источник: BleepingComputer

 

Проблема в том, что если Signal может получить доступ к этому файлу с ключом, любая программа в системе тоже способна до него добраться. Другими словами, шифрование БД лишено всякого смысла, ведь любой софт может её расшифровать.

Сначала Signal всячески пытался преуменьшать значение этого бага. Например, один из разработчиков писал:

«Ключ от БД и не задумывался как нечто закрытое. Шифрование при хранении никогда не упоминалось в качестве функциональности десктопной версии Signal».

Однако девелоперы, судя по всему, пересмотрели своё отношение после одного из твитов Илона Маска, в котором миллиардер указывал на уязвимость в мессенджере.

Своё недоумение также высказывали исследователи в области кибербезопасности — например, Томми Миск.

Теперь, по словам разработчиков, они имплементировали поддержку Electron safeStorage. Нововведение скоро должно появиться в бета-версии Signal.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft починила сбой со списками в Пуске на Windows 10 22H2

Если у вас в последнее время не открывались списки последних файлов при правом клике по иконке приложений в меню «Пуск» — вы не один. Microsoft сломала эту функцию в Windows 10 версии 22H2… и вроде как уже починила.

Речь о так называемых jump list — это когда ты кликаешь правой кнопкой по иконке, скажем, Word или Проводника, и сразу видишь список недавно открытых документов или папок. Очень удобно, если работает.

По данным с официального дашборда здоровья Windows, сбой вызвал Controlled Feature Rollout (CFR) — механизм постепенного добавления новых функций.

В марте 2025 Microsoft начала внедрять обновлённый интерфейс управления учётными записями, и именно с ним что-то пошло не так. Пользователи стали жаловаться, что списки не открываются вообще.

После шквала жалоб Microsoft приостановила развёртывание новой функции 25 апреля. Как уверяет компания, новые устройства теперь не должны сталкиваться с этой проблемой, а у тех, кто уже успел пострадать, она больше не должна повторяться.

А пострадали в основном пользователи домашних и Pro-версий Windows 10. Если у вас всё ещё не работает — проверьте подключение к интернету и перезагрузите компьютер: исправление уже должно подтянуться автоматически.

Это не первый глюк в Windows 10 за последнее время. До этого Microsoft уже исправляла баги, которые:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru