For anden gang på under en uge opdages et alvorligt sikkerhedshul i Signal. Bristen tillader code injection og gør det muligt for en angriber at læse tidligere meddelelser.
Det skriver The Hacker News
Forskerne, som fandt fejlen, fandt en lignende fejl tidligere på ugen. Angrebsmetoden udnytter måden, hvorpå Signal håndterer delte links. Det er muligt at sende HTML/JavaScript kode via iFrame, image, video og audio tags.
Det er også muligt at lave code injection via citeret tekst (quoted tekst). En angriber behøver blot at sende sin HTML/JavaScript kode som en besked til sit offer og derefter svare med citat til samme besked med tekst. Hvis ofret modtager beskeden, vil koden eksekvere uden brugerens godkendelse.
Dette kan udnyttes til at opsnappe tidligere sendte beskeder i klartekst blot ved at sende ofret en besked.
Det anbefales at opdatere Signal omgående.