明文儲存的Signal Desktop 應用程式訊息解密金鑰
逆向工程研究員納撒尼爾·蘇西(Nathaniel Suchy)發現,SignalDesktop應用程式明文儲存訊息解密金鑰,將金鑰暴露於黑客攻擊之下。
訊號桌面應用程式將訊息解密金鑰以明文方式儲存,有可能暴露給攻擊者。該問題由逆向工程研究員納撒尼爾·蘇西(Nathaniel Suchy)發現。
該漏洞可影響Signal Desktop應用程式加密本地儲存訊息程序。
Signal Desktop應用程式利用被稱為“db.sqlite”的加密SQLite資料庫儲存使用者資訊。 該加密資料庫的加密金鑰由該應用在安裝過程產生 。
該金鑰以明文形式儲存在Windows PCs本地檔案“ %AppData%\ Signal\ config.json”,以及Mac本地檔案“~/ Library/ Application Support/ Signal/ config.json”中。
Signal Desktop應用程式每次訪問該資料庫都需使用該加密金鑰。
Signal Desktop金鑰
據Bleeping Computer在部落格上釋出的一條帖子可知:“為說明該問題,BleepingComputer安裝了SignalDesktop應用程式,併發送了一些測試訊息。如上圖所示,首先,我們開啟‘config.json’檔案獲取加密金鑰”。
“接下來,我們利用SQLite資料庫瀏覽器程式開啟位於 ‘%AppData%\ Roaming\ Signal\ sql\ db.sqlite’ 的資料庫”。
輸入密碼後,Bleeping Computer專家們便可讀取該資料庫內容。
修復該漏洞並不難, 使用者只需設定一個用於加密該資料庫加密金鑰的密碼即可 。
“使用者只需設定一個加密該金鑰的密碼,便可輕鬆緩解該漏洞”。蘇西如是告訴Bleeping Computer。
2018年8月, 義大利網路安全狂熱者萊昂納多·波波拉(LeonardoPorpora)發現,成功恢復Signal版本1.12.3中過期訊息並非不可能 。
E安全注:本文系E安全獨家編譯報道,轉載請聯絡授權,並保留出處與連結,不得刪減內容。聯絡方式:① 微信號j871798128②郵箱[email protected]
@E安全,最專業的前沿網路安全媒體和產業服務平臺,每日提供優質全球網路安全資訊與深度思考,歡迎關注微信公眾號「E安全」(EAQapp),或登E安全入口網站戶網站戶網站www.easyaq.com , 查 , 查 , 檢視更多精彩內容。