» »

Osnovnošolska luknja v namiznem odjemalcu za Signal

Osnovnošolska luknja v namiznem odjemalcu za Signal

Slo-Tech - V namiznem odjemalcu za aplikacijo Signal, ki načeloma omogoča varno hipno komunikacijo, so odkrili dve zelo resni ranljivosti, zaradi česar morajo vsi uporabniki posodobiti svojo nameščeno verzijo. Kdor uporablja Signal, ki sicer velja za zelo varno aplikacijo, saj ga je uporabljal tudi Edward Snowden, le na mobilnih naprav, z ranljivostjo nima opraviti nič. Drugačna pa je situacija na namiznih računalnikih.

Tu so snovalci Signala aplikacijo zgradili na platformi Electron, kar je sicer dobrodošlo z vidika hitrosti razvoja, saj pod eno streho združuje spletni strežnik, javascript in brskalnik. Manj zaželeno pa je to z varnostnega vidika, saj je v njej resna luknja. V resnici kar dve, saj so minuli teden najprej odkrili prvo luknjo zaradi vrivanja vode (XSS), le malo kasneje pa še drugo.

Če napadalec žrtvi pošlje primerno oblikovano sporočilo s HTML-kodo in žrtev nanj odgovori, se koda izvede. V njej pa je lahko kaj zločestega. Težava je v tem, da Signal vsebine sporočil ne počisti ustrezno. Luknja je v funkciji, ki obravnava povezave v sporočilih, kar omogoča vrivanje HTML/JavaScripta z elementi iFrame, image, video in audio. Raziskovalci so pokazali, da je mogoče pripraviti škodljivo kodo, ki ukrade zgodovino pogovorov ali gesla za Windows. Zanimivo je, da so prejšnje različice imele mehanizem za preverjanje URL-naslovov (funkcijo regex), a je iz novega Signala 10 nekako izpadel. Najnovejša inačica ima varnostni ranljivosti že zakrpani.

7 komentarjev

techfreak :) ::

Electron sicer podpira webview tag, ki uporablja locen proces za renderiranje, tako da ni mogoce priti do spremenljivk aplikacije, ter do samega node.js APIja. Prav tako ima opcijo izklopa javascripta. Me prav zanima kaksen je bil razlog, da niso tega uporabili.

srus ::

techfreak :) je izjavil:

Electron sicer podpira webview tag, ki uporablja locen proces za renderiranje, tako da ni mogoce priti do spremenljivk aplikacije, ter do samega node.js APIja. Prav tako ima opcijo izklopa javascripta. Me prav zanima kaksen je bil razlog, da niso tega uporabili.


Bug so rešili že pred časom, pa so pozabili na patch pri reševanju novih bugov.

Matthai ::

...ali pa so pozabili vklopiti regex preverjanje, ker je bila nekje na radarju priročna tarča...
All those moments will be lost in time, like tears in rain...
Time to die.

WhiteAngel ::

Debilna zasnova za tako aplikacijo. Niso mogli navadnega Qt-a vzeti!?

Spura ::

A lahko folk neha uporabljat javascript kjer v to nisi prisiljen? Golazen javascriptovska širi svoj AIDS iz browserja drugam.

WildChild ::

Bruh tale electron :(
in da mood

MrStein ::

saj pod eno streho združuje spletni strežnik, javascript in brskalnik.

8-O

To je dobesedno "XSS&co included".
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkritih 13 kritičnih ranljivosti AMD Ryzen in EPYC procesorjev (strani: 1 2 3 )

Oddelek: Novice / Procesorji
1087145 (474) rdecaluc
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
35931014 (14851) TESKAn
»

Slovenska policija začenja uporabljati varne mobilne komunikacije

Oddelek: Novice / NWO
364884 (2388) matijadmin
»

Linux/Apache kot vektor napada...

Oddelek: Informacijska varnost
271500 (890) Atos
»

Vzpostavljanje prikritih omrežij s pomočjo XSS ranljivosti in JavaScripta

Oddelek: Novice / Varnost
224333 (3042) MrStein

Več podobnih tem