הגם את, סיגנל? באג אבטחה התגלה באפליקציית המסרים המאובטחת בעולם

באג בגרסת האנדרואיד של אפליקצית המסרים Signal הוביל לכך שהאקרים יכלו להאזין למשתמשים שלה, ללא ידיעתם. החדשות הטובות: הבאג תוקן

Signal

מקור: Signal

אפליקציית המסרים Signal (סיגנל) מבטיחה להיות מאובטחת ומוצפנת פי כמה ממתחרותיה, כולל טלגרם, מה שהוביל לכך שאחד מהפעילים שתומכים בה הוא אדוארד סנודן, שיודע דבר או שניים על פרטיות ואבטחה. אבל עתה מתברר שגם ״האפליקציה המאובטחת מכולן״ לא חסינה, ולאחרונה חוקרים ב-Project Zero של גוגל חשפו בה מחדל אבטחה די בעייתי.

האזנה ללא ידיעת המשתמש

נטלי סילבנוביץ׳, חוקרת אבטחה במיזם Project Zero של גוגל, חשפה לאחרונה באג בגרסת האנדרואיד של אפליקציית Signal שמסכן את פרטיות המשתמשים. הבאג הבעייתי גרם לכך שמשתמשים באפליקציה היו חשופים לריגול על ידי האקרים שיכלו לנצל את הפרצה על מנת להאזין להם, ללא ידיעתם. סילבנוביץ׳ גילתה כי האקר היה יכול להתקשר למשתמש, ובין אם הנמען קיבל את השיחה ובין אם לא – הבאג הוביל לכך שהשיחה הייתה נענית באופן אוטומטי, מה שהפעיל את המיקרופון כמובן.

המחדל התאפשר הודות ללחיצה סופר זריזה על כפתור ה-Mute (השתק) במכשיר של הקורבן עצמו – לפעמים עוד לפני שהוא בכלל הבחין בכך שהוא קיבלו שיחה. התוצאה של המחדל הובילה לכך שהאקרים יכולים להאזין לקורבנות שלהם, מבלי שהם ידעו מכך. יש לציין כי הבאג רלוונטי רק לשיחות קוליות, שכן בשיחות וידאו דרך Signal המשתמש נדרש לאשר את הגישה למצלמה באופן ידני.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

סוף טוב הכל טוב?

באותו היום שבו נחשף הבאג הבעייתי, ב-Signal שחררו עדכון גרסה 4.47.7, כך שאם אתם משתמשים באפליקציה – מומלץ לוודא שאתם מחזיקים בגרסה האחרונה. בתגובה לפורבס נמסר מהחברה כי כעת: ״משתמשים ישמעו צלצול או ירגישו רטט, ממש כמו כל שיחת Signal אחרת. גם אם השיחה תיענה במהירות, המשתמשים יבחינו באינדיקציה מסוימת שתעיד על כך ששיחה מתקיימת ברגע זה. כמו כן, תמיד יהיה תיעוד לשיחות הנכנסות שבוצעו דרך האפליקציה בראש רשימת השיחות שלכם״.

אז כן, זה קצת מטריד שאפליקציה שמשמשת לא מעט אנשי תקשורת ופוליטיקאים לא חסינה אף היא למחדלי אבטחה, אבל בשורה התחתונה – עדיין מדובר באלטרנטיבה מאובטחת, שלא נשלטת על ידי תאגיד או גורם אלמוני. אגב, מעניין לדעת שגם אם אתם לא משתמשים באופן יומיומי ב-Signal – אתם ככל הנראה משתמשים בטכנולוגיה שלה; Open Whisper Systems, החברה המפתחת שעומדת מאחורי Signal, היא זו שפיתחה במשותף עם ווטסאפ את פרוטוקול ההצפנה (End-To-End) של האפליקציה הפופולארית ביותר בעולם.

הילה חיימוביץ׳

גיקית, Deal With It

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: