Signal: Endnu et sikkerhedshul i krypteret beskedtjeneste

17. maj 2018 kl. 13:393
Signal: Endnu et sikkerhedshul i krypteret beskedtjeneste
Illustration: Open Whisper Systems.
For anden gang på under en uge opdages et alvorligt sikkerhedshul i Signal. Bristen tillader code injection og gør det muligt for en angriber at læse tidligere meddelelser.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

For anden gang på under en uge opdages et alvorligt sikkerhedshul i Signal. Bristen tillader code injection og gør det muligt for en angriber at læse tidligere meddelelser.

Det skriver The Hacker News

Forskerne, som fandt fejlen, fandt en lignende fejl tidligere på ugen. Angrebsmetoden udnytter måden, hvorpå Signal håndterer delte links. Det er muligt at sende HTML/JavaScript kode via iFrame, image, video og audio tags.

Det er også muligt at lave code injection via citeret tekst (quoted tekst). En angriber behøver blot at sende sin HTML/JavaScript kode som en besked til sit offer og derefter svare med citat til samme besked med tekst. Hvis ofret modtager beskeden, vil koden eksekvere uden brugerens godkendelse.

Artiklen fortsætter efter annoncen

Dette kan udnyttes til at opsnappe tidligere sendte beskeder i klartekst blot ved at sende ofret en besked.

Det anbefales at opdatere Signal omgående.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
17. maj 2018 kl. 16:55

Så der skal skabes usikkerhed om tjenester som myndigheder ikke kan tilgå ?

Måske også på tide at krypterings server/klient software blev mere OBS på sådan ting. Så der ikke tillades ælder versioner af mail klienter, krypteringstype og software, og at der ikke kan sendes klar tekst eller krypteret overhovedet.

Men hvis man har noget rigtigt "skummel" så bør man også bruge "dobbelt kryptering", med en anden metode ogsoftware . Som at bruge PGP på et MS krypterings filsystem., Eller at både at bruge VPN og krypteret filer.

Men sikkerheden skal op, nogle kan dø eller komme i fængsel på grund af sådan sløserier.

Kom nu i gang, smid eller skift Outlook og Gmail ud når der sendes private mail. i det mindste brug krypteret filer, ved vedhæftning.

Sikkerhed , privacy og krigen mod overvågning, virus , malevare begynder ved dig selv.

Brug f.eks.https://tutanota.com/

Og skift til f.eks. mint/ubuntu hvis muligt, eller som multi boot. Og brug ikke standart software, som ikke er Opensource hvis muligt. Det øger også sikkerheden på alle andre områder. Og hvis et af OS går ned, måske ikke på grund af virus, men på grund af en opdatering eller logisk fejl. Så kan man bruge det andet.

2
17. maj 2018 kl. 14:20

Faktisk blev dette hul fundet før #efail (a.k.a. #effail), hvor EFF har været ude og råde mod at bruge PGP+email. Det er IMO dybt godnat fra EFFs side.

I CVE'en for sikkerhedshullet i Signal står der:

For safer communications on desktop systems, please consider the use of a safer end-point client like PGP or GnuPG instead.

(man skal selvfølgelig bare anerkender, at der er tale om to grundlæggende forskellige måder at kommunikere på)

1
17. maj 2018 kl. 14:12

Bemærk, det er kun i desktop app'en fejlen er og der er frigivet en opdatering. Android/iOS udgaverne er ikke ramt.

Det står også i kildeartiklen.