Signal исправил 6-летний баг хранения ключей шифрования в открытом тексте

Signal исправил 6-летний баг хранения ключей шифрования в открытом тексте

Signal исправил 6-летний баг хранения ключей шифрования в открытом тексте

Разработчики мессенджера Signal решили наконец повысить безопасность версии приложения для десктопов. В частности, девелоперы поменяли способ хранения ключей шифрования, за что их критиковали с 2018 года.

Ранее при установке Signal на Windows- или macOS-устройства мессенджер создавал зашифрованную SQLite-базу для хранения сообщений пользователя. Эта БД шифровалась с помощью ключа, сгенерированного программой, без пользовательского ввода.

Чтобы программа могла расшифровывать базу и использовать её для хранения данных, нужен ключ шифрования. В случае с логикой работы Signal ключ хранился в виде простого текста в локальном файле по пути «%AppData%\Signal\config.json» в Windows и «~/Library/Application Support/Signal/config.json» — в macOS.

Источник: BleepingComputer

 

Проблема в том, что если Signal может получить доступ к этому файлу с ключом, любая программа в системе тоже способна до него добраться. Другими словами, шифрование БД лишено всякого смысла, ведь любой софт может её расшифровать.

Сначала Signal всячески пытался преуменьшать значение этого бага. Например, один из разработчиков писал:

«Ключ от БД и не задумывался как нечто закрытое. Шифрование при хранении никогда не упоминалось в качестве функциональности десктопной версии Signal».

Однако девелоперы, судя по всему, пересмотрели своё отношение после одного из твитов Илона Маска, в котором миллиардер указывал на уязвимость в мессенджере.

Своё недоумение также высказывали исследователи в области кибербезопасности — например, Томми Миск.

Теперь, по словам разработчиков, они имплементировали поддержку Electron safeStorage. Нововведение скоро должно появиться в бета-версии Signal.

Android без лишнего контроля: LineageOS отказалась идти на поводу у Google

Пока Google готовится закрутить гайки для установки приложений на Android, команда LineageOS решила успокоить своих пользователей: на устройства с этой кастомной прошивкой новая система проверки разработчиков не повлияет.

Речь идёт об Android Developer Verification — механизме, который Google начнёт вводить с 30 сентября 2026 года.

Сначала правила заработают в Бразилии, Индонезии, Сингапуре и Таиланде, а в 2027 году распространятся глобально. Суть в следующем: приложения должны быть зарегистрированы на верифицированного разработчика; неважно, скачаны они из Google Play, стороннего магазина или установлены APK-файлом.

Для обычных сертифицированных Android-устройств с Google Mobile Services всё станет сложнее. Приложения от непроверенных разработчиков не заблокируют намертво, но пользователям придётся устанавливать их через новый продвинутый сценарий сторонней загрузки или через ADB.

LineageOS в эту схему не попадает. Проект не поставляется с Google Mobile Services, не проходит сертификацию Google и не включает компонент, через который будет работать новая проверка.

Даже если пользователь сам установит Google-приложения через GApps, команда LineageOS не ожидает, что такие пакеты начнут включать спорную функцию: кому вообще нужен GApps, который добровольно делает установку APK больнее?

Разработчики допускают, что Google однажды может перенести проверку в Play Services. Но и тут позиция LineageOS непоколебима: если такое случится, функцию просто отключат, как уже делают с некоторыми механизмами обновлений на базе Play Services.

При этом LineageOS не спорит с тем, что борьба с вредоносными приложениями нужна. Но проект разделяет опасения F-Droid, EFF и кампании Keep Android Open: под видом безопасности Google может получить ещё больше контроля над распространением приложений на Android. Поэтому LineageOS подписала петицию Keep Android Open вместе с другими опенсорс-организациями.

RSS: Новости на портале Anti-Malware.ru