Signal: Endnu et sikkerhedshul i krypteret beskedtjeneste

Illustration: Open Whisper Systems
For anden gang på under en uge opdages et alvorligt sikkerhedshul i Signal. Bristen tillader code injection og gør det muligt for en angriber at læse tidligere meddelelser.

For anden gang på under en uge opdages et alvorligt sikkerhedshul i Signal. Bristen tillader code injection og gør det muligt for en angriber at læse tidligere meddelelser.

Det skriver The Hacker News

Forskerne, som fandt fejlen, fandt en lignende fejl tidligere på ugen. Angrebsmetoden udnytter måden, hvorpå Signal håndterer delte links. Det er muligt at sende HTML/JavaScript kode via iFrame, image, video og audio tags.

Det er også muligt at lave code injection via citeret tekst (quoted tekst). En angriber behøver blot at sende sin HTML/JavaScript kode som en besked til sit offer og derefter svare med citat til samme besked med tekst. Hvis ofret modtager beskeden, vil koden eksekvere uden brugerens godkendelse.

Dette kan udnyttes til at opsnappe tidligere sendte beskeder i klartekst blot ved at sende ofret en besked.

Det anbefales at opdatere Signal omgående.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
Benjamin Bach

Faktisk blev dette hul fundet før #efail (a.k.a. #effail), hvor EFF har været ude og råde mod at bruge PGP+email. Det er IMO dybt godnat fra EFFs side.

I CVE'en for sikkerhedshullet i Signal står der:

For safer communications on desktop systems, please consider the use of a safer end-point client like PGP or GnuPG instead.

(man skal selvfølgelig bare anerkender, at der er tale om to grundlæggende forskellige måder at kommunikere på)

Hans Nielsen

Så der skal skabes usikkerhed om tjenester som myndigheder ikke kan tilgå ?

Måske også på tide at krypterings server/klient software blev mere OBS på sådan ting. Så der ikke tillades ælder versioner af mail klienter, krypteringstype og software, og at der ikke kan sendes klar tekst eller krypteret overhovedet.

Men hvis man har noget rigtigt "skummel" så bør man også bruge "dobbelt kryptering", med en anden metode ogsoftware . Som at bruge PGP på et MS krypterings filsystem., Eller at både at bruge VPN og krypteret filer.

Men sikkerheden skal op, nogle kan dø eller komme i fængsel på grund af sådan sløserier.

Kom nu i gang, smid eller skift Outlook og Gmail ud når der sendes private mail. i det mindste brug krypteret filer, ved vedhæftning.

Sikkerhed , privacy og krigen mod overvågning, virus , malevare begynder ved dig selv.

Brug f.eks.
https://tutanota.com/

Og skift til f.eks. mint/ubuntu hvis muligt, eller som multi boot. Og brug ikke standart software, som ikke er Opensource hvis muligt. Det øger også sikkerheden på alle andre områder. Og hvis et af OS går ned, måske ikke på grund af virus, men på grund af en opdatering eller logisk fejl. Så kan man bruge det andet.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder