Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом а вы доверяете SIGNAL?

Imperatoria

Местный
ЗАБАНЕН
Private Club
Старожил
Регистрация
4/11/17
Сообщения
920
Репутация
1.360
Реакции
2.378
RUB
0
Сделок через гаранта
3
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Signal обрел популярность после того, как стал известен в качестве «любимого мессенджера» . В 2015 г. он , что ежедневно пользуется приложением Signal для связи с журналистами.

Мессенджер Signal позиционируется как особо защищённое средство обмена информацией, в котором используется сквозное шифрование, что должно исключать доступ посторонних к содержимому переписки. Однако, как выяснилось, существуют ситуации, когда всё старания по шифрованию информации Signal оказываются тщетными.

Первоначально Signal был доступен только как приложение для мобильных телефонов, но удобство требовало настольной версии, которая в результате появилась в виде для Chrome. С конца октября 2017 пользователям стал новый вариант автономного приложения, не зависящего от браузера. С этого же момента расширение для Chrome получило статус end-of-life, и на момент публикации данной статьи срок его поддержки истекает менее чем через месяц. Здесь и начинается грустная история.

Делай раз

Исследователь в области информационной безопасности Мэтью Сюиш поделился открытием, что один из самых защищенных крипто-мессенджеров «подложил» своим пользователям «свинью» впечатляющих размеров. Мессенджер Signal в процессе миграции от расширения для Chrome до полноценного десктопного клиента сообщения пользователя в незашифрованные текстовые файлы.


I created a GitHub issue for the record:

Here is a screenshot of the exported data, including exlusive logs with - Insane. Totally insane.
— Matt Suiche (@msuiche)


Мэтью Сюиш обнаружил этот опасный баг при работе в macOS, когда обновлял Signal. Журналисты пошли дальше и выяснили, что такая же точно проблема проявляется и в Linux Mint.

При экспорте диалогов на диск Signal формирует отдельные папки, именованные по имени и телефонному номеру контактов. Всё содержимое диалогов хранится в формате JSON открытым текстом. Никаких предупреждений о том, что информация расшифровывается и сохраняется на диск, программа не выводит. Этот момент и является ключевым для угрозы утечки конфиденциальных данных.

Самое плохое же в этой ситуации — незашифрованные сообщения остаются на диске даже после завершения апгрейда, и удалять их придется вручную, если, конечно, пользователь вообще догадается…

Делай два

Но этого было мало! Вторую проблему в Signal Desktop выявил другой исследователь, Нэйтан Сёчи.


. stores your messages in an encrypted SQLite database on your local hard drive - luckily they don't encrypt the key so messages are easily accessable :)
— Nathaniel Suchy (@nathanielrsuchy)


Нэйтан Сёчи узнал, что во время установки Signal Desktop создается зашифрованная база данных db.sqlite с архивом сообщений пользователя. Ключ шифрования для базы данных генерируется мессенджером без взаимодействия с пользователем и используется каждый раз, когда нужно прочитать базу с архивом сообщений. Кто бы мог подумать, что ключ хранится локально и открытым текстом? Этот ключ можно найти на PC в файле %AppData%\Signal\config.json и на Mac в ~/Library/Application Support/Signal/config.json.

image


Делай три, Signal синим пламенем гори!

По-видимому, на этом проблемы с Signal не заканчиваются. Например, ещё один эксперт, Кит МакКэммон указывает, что Signal Desktop плохо справляется с удалением вложений из «исчезающих» сообщений.


Using Signal Desktop? Search your local filesystem for media attached to disappearing messages. Rejoice when you find that media files are never removed.

Signal does not aim to protect against filesystem access. Which would be fine, if this were apparent to anyone at all . . .
— Keith (@kwm)

Функция «исчезающих» сообщений задумывалась разработчиками Signal как дополнительный эшелон безопасности, но на деле работает она не очень ненадёжно. По заявлению МакКэммона, все вложения остаются на диске пользователей Signal даже после того, как должны были быть удалены.
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Какой мессенджер придет на смену телеграмму?
 
В курсе ли кто и может ли сказать о мессенджере Threema?
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
во, хороший вопрос... решил себе поставить , хорошие люди в офлайне давно его советовали...

Там только скачивание стоит сейчас что-то 249 рублей. Это-то ладно..
Просто, не каждый заказчик захочет заморачиваться с его установкой, поэтому..
А так - хвалят, вроде..
С другой стороны, отсеит 90% публики разряда "я только спрошу".
 
В курсе ли кто и может ли сказать о мессенджере Threema?
Пользуюсь давно и частной и Threema Work.Скрины запретить лишь в настройках..Качество звонков отличное...
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Там только скачивание стоит сейчас что-то 249 рублей. Это-то ладно..
вот именно ладно) за то повысит качество общения.. будет уровень .. не каждый захочет действительно

но если же вынести это в приоритеты за место телеграмма например.. то вполне возникнет абсолютное удобство и спокойствие при работе..
на фоне то телеграммных новостей последнее время...
 
В курсе ли кто и может ли сказать о мессенджере Threema?
Начал пользоваться когда только появилась и была бесплатной. Радует, что нет привязки ни к почте ни к номеру телефона. Пока всё устраивает. Похожая программа Eleet (даже в плане безопасности на порядок выше), но часто не работает.
 
Сверху Снизу