addmeto

addmeto @ telegram, 41212 members, 2276 posts since 2015

филиал addmeto.сс на земле

May 18, 07:00

Безопасность любой системы всегда равна безопасности самого слабого звена. Никогда нельзя про это забывать, особенно если ты делаешь супер-защищенный мессенджер. В общем ожидаемая дырка в десктопном клиенте Signal, которая возникла из-за того, что клиент написан на веб-технологиях. И дырка классическая - XSS, отправляется сообщение в котором есть кусок javascript, который исполняется по факту отображения в клиенте. Самое ужасное, что есть прямо демо-эксплоит, который отправляет переписку пользователей на сервер злоумышленника. Срочно обновляйте клиент, если вы им пользуетесь. Мобильные клиенты в порядке, речь только о десктопе.

А ведь сколько было разговоров о супер-защищенном, криптографически выверенном протоколе. Обидно за ребят, надеюсь это станет подходящей причиной для срочной разработки десктопного клиента на нативных или условно-нативных технологиях.

seclists.org/fulldisclosure/2018/May/46

Full Disclosure: CVE-2018-11101: Signal-desktop HTML tag injection variant 2