For anden gang på under en uge opdages et alvorligt sikkerhedshul i Signal. Bristen tillader code injection og gør det muligt for en angriber at læse tidligere meddelelser.
Det skriver The Hacker News
Forskerne, som fandt fejlen, fandt en lignende fejl tidligere på ugen. Angrebsmetoden udnytter måden, hvorpå Signal håndterer delte links. Det er muligt at sende HTML/JavaScript kode via iFrame, image, video og audio tags.
Det er også muligt at lave code injection via citeret tekst (quoted tekst). En angriber behøver blot at sende sin HTML/JavaScript kode som en besked til sit offer og derefter svare med citat til samme besked med tekst. Hvis ofret modtager beskeden, vil koden eksekvere uden brugerens godkendelse.
Dette kan udnyttes til at opsnappe tidligere sendte beskeder i klartekst blot ved at sende ofret en besked.
Det anbefales at opdatere Signal omgående.
Bemærk, det er kun i desktop app'en fejlen er og der er frigivet en opdatering. Android/iOS udgaverne er ikke ramt.
Det står også i kildeartiklen.
Faktisk blev dette hul fundet før #efail (a.k.a. #effail), hvor EFF har været ude og råde mod at bruge PGP+email. Det er IMO dybt godnat fra EFFs side.
I CVE'en for sikkerhedshullet i Signal står der:
(man skal selvfølgelig bare anerkender, at der er tale om to grundlæggende forskellige måder at kommunikere på)
Så der skal skabes usikkerhed om tjenester som myndigheder ikke kan tilgå ?
Måske også på tide at krypterings server/klient software blev mere OBS på sådan ting. Så der ikke tillades ælder versioner af mail klienter, krypteringstype og software, og at der ikke kan sendes klar tekst eller krypteret overhovedet.
Men hvis man har noget rigtigt "skummel" så bør man også bruge "dobbelt kryptering", med en anden metode ogsoftware . Som at bruge PGP på et MS krypterings filsystem., Eller at både at bruge VPN og krypteret filer.
Men sikkerheden skal op, nogle kan dø eller komme i fængsel på grund af sådan sløserier.
Kom nu i gang, smid eller skift Outlook og Gmail ud når der sendes private mail. i det mindste brug krypteret filer, ved vedhæftning.
Sikkerhed , privacy og krigen mod overvågning, virus , malevare begynder ved dig selv.
Brug f.eks.
https://tutanota.com/
Og skift til f.eks. mint/ubuntu hvis muligt, eller som multi boot. Og brug ikke standart software, som ikke er Opensource hvis muligt. Det øger også sikkerheden på alle andre områder. Og hvis et af OS går ned, måske ikke på grund af virus, men på grund af en opdatering eller logisk fejl. Så kan man bruge det andet.