» »

Osnovnošolska luknja v namiznem odjemalcu za Signal

Osnovnošolska luknja v namiznem odjemalcu za Signal

Slo-Tech - V namiznem odjemalcu za aplikacijo Signal, ki načeloma omogoča varno hipno komunikacijo, so odkrili dve zelo resni ranljivosti, zaradi česar morajo vsi uporabniki posodobiti svojo nameščeno verzijo. Kdor uporablja Signal, ki sicer velja za zelo varno aplikacijo, saj ga je uporabljal tudi Edward Snowden, le na mobilnih naprav, z ranljivostjo nima opraviti nič. Drugačna pa je situacija na namiznih računalnikih.

Tu so snovalci Signala aplikacijo zgradili na platformi Electron, kar je sicer dobrodošlo z vidika hitrosti razvoja, saj pod eno streho združuje spletni strežnik, javascript in brskalnik. Manj zaželeno pa je to z varnostnega vidika, saj je v njej resna luknja. V resnici kar dve, saj so minuli teden najprej odkrili prvo luknjo zaradi vrivanja vode (XSS), le malo kasneje pa še drugo.

Če napadalec žrtvi pošlje primerno oblikovano sporočilo s HTML-kodo in žrtev nanj odgovori, se koda izvede. V njej pa je lahko kaj zločestega. Težava je v tem, da Signal vsebine sporočil ne počisti ustrezno. Luknja je v funkciji, ki obravnava povezave v sporočilih, kar omogoča vrivanje HTML/JavaScripta z elementi iFrame, image, video in audio. Raziskovalci so pokazali, da je mogoče pripraviti škodljivo kodo, ki ukrade zgodovino pogovorov ali gesla za Windows. Zanimivo je, da so prejšnje različice imele mehanizem za preverjanje URL-naslovov (funkcijo regex), a je iz novega Signala 10 nekako izpadel. Najnovejša inačica ima varnostni ranljivosti že zakrpani.

7 komentarjev

techfreak :) ::

Electron sicer podpira webview tag, ki uporablja locen proces za renderiranje, tako da ni mogoce priti do spremenljivk aplikacije, ter do samega node.js APIja. Prav tako ima opcijo izklopa javascripta. Me prav zanima kaksen je bil razlog, da niso tega uporabili.

srus ::

techfreak :) je izjavil:

Electron sicer podpira webview tag, ki uporablja locen proces za renderiranje, tako da ni mogoce priti do spremenljivk aplikacije, ter do samega node.js APIja. Prav tako ima opcijo izklopa javascripta. Me prav zanima kaksen je bil razlog, da niso tega uporabili.


Bug so rešili že pred časom, pa so pozabili na patch pri reševanju novih bugov.

poweroff ::

...ali pa so pozabili vklopiti regex preverjanje, ker je bila nekje na radarju priročna tarča...
sudo poweroff

WhiteAngel ::

Debilna zasnova za tako aplikacijo. Niso mogli navadnega Qt-a vzeti!?

Spura ::

A lahko folk neha uporabljat javascript kjer v to nisi prisiljen? Golazen javascriptovska širi svoj AIDS iz browserja drugam.

WildChild ::

Bruh tale electron :(
in da mood

MrStein ::

saj pod eno streho združuje spletni strežnik, javascript in brskalnik.

8-O

To je dobesedno "XSS&co included".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

FBI raje odstopil od pregona pedofila kakor razkril ranljivost Tora

Oddelek: Novice / Tožbe
2513647 (11092) WildChild
»

Pol milijona pohekanih spletnih strežnikov - med njimi tudi slovenski!

Oddelek: Novice / Varnost
395759 (3690) poweroff
»

Linux/Apache kot vektor napada...

Oddelek: Informacijska varnost
272125 (1515) Atos
»

Vzpostavljanje prikritih omrežij s pomočjo XSS ranljivosti in JavaScripta

Oddelek: Novice / Varnost
225428 (4137) MrStein
»

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Oddelek: Novice / Varnost
204743 (4079) sverde21

Več podobnih tem