Osnovnošolska luknja v namiznem odjemalcu za Signal

V namiznem odjemalcu za aplikacijo Signal, ki načeloma omogoča varno hipno komunikacijo, so odkrili dve zelo resni ranljivosti, zaradi česar morajo vsi uporabniki posodobiti svojo nameščeno verzijo. Kdor uporablja Signal, ki sicer velja za zelo varno aplikacijo, saj ga je uporabljal tudi Edward Snowden, le na mobilnih naprav, z ranljivostjo nima opraviti nič. Drugačna pa je situacija na namiznih računalnikih.

Tu so snovalci Signala aplikacijo zgradili na platformi Electron, kar je sicer dobrodošlo z vidika hitrosti razvoja, saj pod eno streho združuje spletni strežnik, javascript in brskalnik. Manj zaželeno pa je to z varnostnega vidika, saj je v njej resna luknja. V resnici kar dve, saj so minuli teden najprej odkrili prvo luknjo zaradi vrivanja vode (XSS), le malo kasneje pa še drugo.

Če napadalec žrtvi pošlje primerno oblikovano sporočilo s HTML-kodo in žrtev nanj odgovori, se koda izvede. V njej pa je lahko kaj zločestega. Težava je v tem, da Signal vsebine sporočil ne počisti ustrezno. Luknja je v funkciji, ki obravnava povezave v sporočilih, kar omogoča vrivanje HTML/JavaScripta z elementi iFrame, image, video in audio. Raziskovalci so pokazali, da je mogoče pripraviti škodljivo kodo, ki ukrade zgodovino pogovorov ali gesla za Windows. Zanimivo je, da so prejšnje različice imele mehanizem za preverjanje URL-naslovov (funkcijo regex), a je iz novega Signala 10 nekako izpadel. Najnovejša inačica ima varnostni ranljivosti že zakrpani.