Το Telegram διορθώνει ένα ελάττωμα στην
ασφάλεια
της εφαρμογής του για επιτραπέζιους υπολογιστές που παραμένει εδώ και χρόνια. Οπως και
αναφέρθηκε από το BleepingComputer
, Η εφαρμογή Desktop του Signal τόσο σε Windows όσο και σε Mac δημιουργεί μια βάση δεδομένων SQLite όταν
εγκ
ατασταθεί για πρώτη φορά. Το πρόγραμμα δημιουργεί ένα κλειδί για την κρυπτογράφηση αυτής της βάσης δεδομένων, το οποίο στη συνέχεια αποθηκεύεται ως αρχείο απλού κειμένου τοπικά στο μηχάνημα. Οποιοσδήποτε έχει πρόσβαση στο μηχάνημα μπορεί να μπει σε αυτό το αρχείο.
Οχι πολύ καλά.
Το Signal είναι μια κρυπτογραφημένη εφαρμογή συνομιλίας με καλή φήμη.
Για
πολλούς, είναι η καθημερινή πλατφόρμα επικοινωνίας του οδηγού τους. Το σύστημα κρυπτογράφησης από άκρο σε άκρο είναι τόσο
καλό
που χρησιμοποιείται σε άλλα προγράμματα όπως το WhatsApp. Στο κινητό, είναι φανταστικό. Σε επιτραπέζιους υπολογιστές; Λιγότερο.
Το παράξενο είναι ότι αυτή η ευπάθεια στην εφαρμογή επιτραπέζιου υπολογιστή του Signal υπάρχει εδώ και χρόνια. BleepingComputer
αναφέρθηκε για πρώτη φορά
σε αυτό το 2018. Εκείνη την εποχή, η Signal είπε στους χρήστες στα φόρουμ της ότι το κλειδί της βάσης δεδομένων δεν έπρεπε ποτέ να κρατηθεί μυστικό.
«Τα αναφερόμενα ζητήματα βασίζονται στο ότι ένας εισβολέας έχει ήδη *πλήρη πρόσβαση στη συσκευή σας* — είτε φυσικά, μέσω παραβίασης κακόβουλου λογισμικού είτε μέσω μιας κακόβουλης εφαρμογής που εκτελείται στην ίδια συσκευή. Αυτό
δεν είναι
κάτι από το οποίο το Signal ή οποιαδήποτε άλλη εφαρμογή μπορεί να προστατεύσει πλήρως. Ούτε το ισχυριζόμαστε ποτέ», η Πρόεδρος της Signal Meredith Whitaker
είπε σε ανάρτηση στο Χ
στις 9 Ιουλίου.
Γιατί λοιπόν όλα αυτά επανέρχονται στην επιφάνεια τώρα; Ο Έλον Μασκ, η πολιτική του δεξιού πολιτιστικού πολέμου και το Telegram.
Το Telegram είναι μια άλλη δημοφιλής εφαρμογή ανταλλαγής μηνυμάτων, ειδικά στην Ευρώπη, τη Ρωσία και τη Μέση Ανατολή. Δεν έχει, από προεπιλογή, κρυπτογράφηση από άκρο σε άκρο. Είναι επίσης ένα διάνυσμα για
κακόβουλο λογισμικό
,
απάτες
, και βίαιες εικόνες. Στις 8 Μαΐου, ο Διευθύνων Σύμβουλος της Pavel Durov
φώναξε το Σήμα
ως πράκτορας της αμερικανικής κυβέρνησης σε ανάρτηση στο Telegram.
«Η κυβέρνηση των ΗΠΑ ξόδεψε 3 εκατομμύρια δολάρια για να δημιουργήσει την κρυπτογράφηση της Signal και σήμερα η ίδια ακριβώς κρυπτογράφηση εφαρμόζεται στο WhatsApp, το Facebook Messenger, το Google Messages και ακόμη και το Skype», είπε ο Durov. «Φαίνεται σχεδόν σαν να μην επιτρέπεται η μεγάλη τεχνολογία στις ΗΠΑ να δημιουργήσει τα δικά της πρωτόκολλα κρυπτογράφησης που θα ήταν ανεξάρτητα από κρατικές παρεμβάσεις».
Ο Durov αντέδρασε σε μια αναφορά του δεξιού προβοκάτορα Chris Ruffo, ο οποίος κάλεσε το Signal για την εμπλοκή του με τη διευθύνουσα σύμβουλο του NPR Katherine Maher. «Υπάρχουν γνωστά τρωτά σημεία με το Signal που δεν αντιμετωπίζονται», είπε ο Μασκ
είπε στο Χ
ως απάντηση στην αναφορά του Ruffo.
Καμία πλατφόρμα επικοινωνίας δεν είναι ασφαλής, αλλά υπάρχουν κλίσεις. «Το Signal Protocol, η κρυπτογραφία πίσω από το Signal (χρησιμοποιείται επίσης στο WhatsApp και σε πολλούς άλλους αγγελιοφόρους) είναι ανοιχτού κώδικα και έχει ελεγχθεί εντατικά από κρυπτογράφους. Όσον αφορά την κρυπτογραφία, αυτό είναι σχεδόν το χρυσό πρότυπο», δήλωσε ο ερευνητής ασφαλείας του Johns Hopkins, Matthew Green.
είπε στο Χ
την ώρα της διαμάχης.
Σύμφωνα με έναν μηχανικό της Signal on
Github
το σχέδιο είναι να χρησιμοποιηθεί το Ηλεκτρόνιο
safeStorage API
. Αυτό θα επέτρεπε στο Signal να χρησιμοποιήσει τα δικά του συστήματα κρυπτογράφησης κάθε λειτουργικού συστήματος για να προσθέσει ένα επιπλέον επίπεδο προστασίας για το JSON όπου είναι αποθηκευμένο το κλειδί. «Αυτή είναι μια μεγάλη αλλαγή που θα απαιτήσει πολλές δοκιμές», δήλωσε ο μηχανικός του Signal στο GitHub. «Θα ξεκινήσει να κυκλοφορεί σύντομα σε μια επερχόμενη έκδοση beta και θα βγει στην παραγωγή αμέσως μετά από αυτό, υποθέτοντας ότι όλα πάνε καλά».
Η Signal δεν επέστρεψε το αίτημα του Gizmodo για σχολιασμό.
Οι ανησυχίες για την ασφάλεια γύρω από τις συσκευές μας είναι στο επίκεντρο αυτή τη στιγμή.
Η AT&T μόλις αποκάλυψε
ότι οι χάκερ είχαν πρόσβαση στη βάση δεδομένων της τον Απρίλιο και κατέβασαν «σχεδόν όλα» τα δεδομένα των πελατών της από μια περίοδο μεταξύ Μαΐου 2022 και Οκτωβρίου 2022.
VIA:
gizmodo.com
0