Signal: Endnu et sikkerhedshul i krypteret beskedtjeneste

Illustration: Open Whisper Systems
For anden gang på under en uge opdages et alvorligt sikkerhedshul i Signal. Bristen tillader code injection og gør det muligt for en angriber at læse tidligere meddelelser.
3

For anden gang på under en uge opdages et alvorligt sikkerhedshul i Signal. Bristen tillader code injection og gør det muligt for en angriber at læse tidligere meddelelser.

Det skriver The Hacker News

Forskerne, som fandt fejlen, fandt en lignende fejl tidligere på ugen. Angrebsmetoden udnytter måden, hvorpå Signal håndterer delte links. Det er muligt at sende HTML/JavaScript kode via iFrame, image, video og audio tags.

Det er også muligt at lave code injection via citeret tekst (quoted tekst). En angriber behøver blot at sende sin HTML/JavaScript kode som en besked til sit offer og derefter svare med citat til samme besked med tekst. Hvis ofret modtager beskeden, vil koden eksekvere uden brugerens godkendelse.

Dette kan udnyttes til at opsnappe tidligere sendte beskeder i klartekst blot ved at sende ofret en besked.

Det anbefales at opdatere Signal omgående.

Sponseret indholdSådan udfordrer DevOps din sikkerhed – og sådan løser du problemet
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Benjamin Balder

Faktisk blev dette hul fundet før #efail (a.k.a. #effail), hvor EFF har været ude og råde mod at bruge PGP+email. Det er IMO dybt godnat fra EFFs side.

I CVE'en for sikkerhedshullet i Signal står der:

For safer communications on desktop systems, please consider the use of a safer end-point client like PGP or GnuPG instead.

(man skal selvfølgelig bare anerkender, at der er tale om to grundlæggende forskellige måder at kommunikere på)

  • 2
  • 1
Hans Nielsen

Så der skal skabes usikkerhed om tjenester som myndigheder ikke kan tilgå ?

Måske også på tide at krypterings server/klient software blev mere OBS på sådan ting. Så der ikke tillades ælder versioner af mail klienter, krypteringstype og software, og at der ikke kan sendes klar tekst eller krypteret overhovedet.

Men hvis man har noget rigtigt "skummel" så bør man også bruge "dobbelt kryptering", med en anden metode ogsoftware . Som at bruge PGP på et MS krypterings filsystem., Eller at både at bruge VPN og krypteret filer.

Men sikkerheden skal op, nogle kan dø eller komme i fængsel på grund af sådan sløserier.

Kom nu i gang, smid eller skift Outlook og Gmail ud når der sendes private mail. i det mindste brug krypteret filer, ved vedhæftning.

Sikkerhed , privacy og krigen mod overvågning, virus , malevare begynder ved dig selv.

Brug f.eks. https://tutanota.com/

Og skift til f.eks. mint/ubuntu hvis muligt, eller som multi boot. Og brug ikke standart software, som ikke er Opensource hvis muligt. Det øger også sikkerheden på alle andre områder. Og hvis et af OS går ned, måske ikke på grund af virus, men på grund af en opdatering eller logisk fejl. Så kan man bruge det andet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Job fra Jobfinder
Mest debatteredeMest læste
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Webinar: Sådan forbereder du din virksomhed til remote working
Whitepaper
Whitepaper
Lær hvordan AI-drevet eksplorativ dataanalyse finder skjulte sammenhænge
Webinar
Webinar
Webinar: Find den bedste balance mellem it-sikkerhed og medarbejderfleksibilitet
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder