Signal Защищенный мессенджер

Продукт
Разработчики: Open Whisper Systems
Дата премьеры системы: 2016/09/01
Дата последнего релиза: 2020/12/16
Отрасли: Интернет-сервисы
Технологии: ИБ - Средства шифрования

Содержание

Основные статьи:

Приложение с открытым кодом для зашифрованной голосовой связи и обмена зашифрованными мгновенными сообщениями для пользователей iOS и Android.

Мессенджер Signal

2023: Дыра в мессенджере позволяет просматривать вложения в переписках других пользователей

В конце января 2023 года специализирующийся на вопросах информационной безопасности Джон Джексон опубликовал исследование о двух уязвимостях, обнаруженных им в настольном клиенте мессенджера Signal. Они получили обозначение CVE-2023-24069 и CVE-2023-24068.

По словам эксперта, злоумышленники могут использовать эти уязвимости для шпионажа. Поскольку настольные приложения Signal для всех операционных систем имеют общую кодовую базу, обе уязвимости присутствуют не только в клиенте для Windows, но и в клиентах для MacOS и Linux. Уязвимы все версии вплоть до последней версии на 27 января 2023 года (6.2.0).Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 13.2 т

Первая уязвимость, CVE-2023-24069, кроется в непродуманном механизме обработки файлов, отправляемых через Signal. Когда пользователь отправляет файл в чат Signal, настольный клиент сохраняет его в локальном каталоге. Когда файл удаляется, он исчезает из каталога, если только кто-нибудь не ответит на него или не перешлет его в другой чат. Более того, несмотря на то, что Signal позиционируется как безопасный мессенджер и все сообщения через него шифруются, файлы хранятся в незащищенном виде.

Обнаружены две уязвимости в в мессенджере Signal, позволяющие кому угодно просматривать вложения в переписках

Вторая уязвимость, CVE-2023-24068, была обнаружена при более тщательном изучении клиента от Signal. Оказалось, что в программе отсутствует механизм проверки файлов. Теоретически это позволяет злоумышленнику подменить их. То есть, если пересланный файл открывается на рабочем столе клиента, кто-то может заменить его в локальной папке на поддельный. Таким образом, при дальнейших передачах пользователь будет распространять подмененный файл вместо того, который он намеревался переслать.

Потенциальные риски на январь 2023 года, связанные с CVE-2023-24069, более или менее понятны. Если пользователь настольной версии Signal оставит свой компьютер незапертым и без присмотра, кто-то может получить доступ к файлам, пересылаемым через Signal. То же самое может произойти, если на ПК включено полное шифрование диска, а владелец имеет обыкновение оставлять его где-нибудь без присмотра.

По информации «Лаборатории Касперского», разработчики Signal не согласны с важностью этих уязвимостей и заявляют о том, что их продукт не должен и не может защитить от злоумышленников с таким уровнем доступа к системе жертвы. Поэтому лучшим советом будет не использовать настольную версию Signal.[1]

2022

Утечка тысяч данных 1900 пользователей

15 августа 2022 года мессенджер Signal, который считается наиболее безопасным, сообщил об утечке номеров телефонов и проверочных кодов SMS примерно 1900 пользователей в связи со взломом компании Twilio.

Следствием утечки стала фишинговая атака на базу данных Twilio, занимающуюся верификацией номеров. Хакеры завладели данными 125 клиентов компании, включая Signal.

Произошла утечка тысяч данных пользователей корпоративного мессенджера Signal

Как сообщает Signal, истории сообщений, контактные списки и информация о пользовательских профилях остаются приватными. Тем не менее, злоумышленник может перерегистрировать номера 1,9 тыс. пользователей на сторонние устройства и осуществлять переписку от лица владельца аккаунта. Администрация мессенджера направила предупреждение тем, кто пострадал от атаки.

«
Следует обратить внимание, что в результате злоумышленник не получил доступ к журналу сообщений, информации профиля или контактам, - говорится на странице поддержки Signal. Записи отправленных ранее сообщений хранятся только на устройствах пользователей. Signal не хранит копии этих данных. Контакты, информация профиля, заблокированные пользователи и т.д. можно восстановить только с использованием PIN-кода Signal, доступ к которому не был (и не мог быть) получен в данном происшествии. Тем не менее, если злоумышленнику удалось перерегистрировать учетную запись, он сможет отправлять и получать сообщения Signal с этого номера телефона.
»

Компания заявила, что для всех пострадавших пользователей она снимет регистрацию Signal на всех устройствах, которые пользователь ранее использовал - или на которых он был зарегистрирован злоумышленником - и потребует от пользователей повторно зарегистрировать Signal со своим номером телефона на предпочитаемом устройстве. Signal также рекомендует пользователям включить блокировку регистрации - функцию, которая не позволит пользователям повторно зарегистрировать учетную запись на другом устройстве без PIN-кода безопасности пользователя. [2]

Швейцарская армия запретила военным использовать иностранные мессенджеры

Вооруженные силы Швейцарии запретили военнослужащим пользоваться мессенджерами Telegram, WhatsApp и Signal из соображений обеспечения информационной безопасности. Об этом стало известно 7 января 2022 года. Подробнее здесь.

2021: Сравнение функционала с другими мессенджерами

Сравнение функционала мессенджеров на январь 2021 г

2020

Взлом израильскими хакерами

16 декабря 2020 года стало известно о том, что израильская компания Cellebrite, разработчик шпионского ПО, заявила, что сумела взломать мессенджер Signal. По данным портала TechRadar и разработчика антивируса AVG, Signal – это самый защищенный мессенджер в мире. Обойти защиту Signal специалисты Cellebrite смогли при помощи собственного программного инструмента Physical Analyzer, предназначенного для систематизации и обработки информации, полученной со смартфона.

В основе Signal лежит проприетарная система шифрования текста и контента Signal Protocol с открытым исходным кодом. Эта система также используется компаниями Facebook и Microsoft в своих месседжерах, но в них она шифрует только текстовые сообщения, а не передаваемые файлы.

Cellebrite опубликовала подробный отчет о процессе взлома Signal прямо на своем официальном сайте. По информации компании, база данных мессенджера хранится в зашифрованном с помощью SqlScipher виде. SqlScipher – это расширение SQLite с открытым исходным кодом, которое обеспечивает прозрачное 256-битное AES-шифрование файлов базы данных. Для чтения БД хакерам был нужен специальный ключ, который, как оказалось, можно извлечь из файла с общими настройками и расшифровать его с помощью ключа под названием «AndroidSecretKey», который сохраняется «Keystore» - специальной функцией ОС Android.

«
После получения расшифрованного ключа нам нужно было знать, как расшифровать базу данных. Для этого мы использовали открытый исходный код Signal и искали любые обращения к базе данных. Изучив десятки классов кода, мы, наконец, нашли то, что искали, – сообщили хакеры.
»

Затем они запустили SqlCipher в базе данных с расшифрованным ключом и значениями 4096 и 1 для размера страницы и итераций kdf, что позволило им расшифровать БД и обнаружить текстовые сообщения в файле «signal.db.decrypted» в таблице с названием «sms». Все отправленные и полученные файлы были найдены в папке «app_parts», но они были дополнительно зашифрованы.

Специалисты Cellebrite выяснили, что для шифрования вложений Signal использует алгоритм AES в режиме CTR, после чего им осталось только провести дешифровку. Дополнительно сопоставлять найденные файлы с чатами им не пришлось – это было сделано еще на этапе анализа сообщений, и в итоге они получили полностью читабельные чаты, доступные теперь в том же виде, в котором их видят участники беседы.

По заявлению Cellebrite, компания намерена сотрудничать с правоохранительными органами различных стран для взлома Signal на нужных им устройствах «на законных основаниях»[3].

Взлет скачиваний во время беспорядков в США

В мае 2020 г на фоне протестов в США вырос спрос на защищенный мессенджер Signal. С 25 мая его скачали 121 000 раз, а в воскресенье 31 мая — рекордные 37 000. В рейтинге приложений App Store мессенджер за это время поднялся с 936 на 126 место по популярности.

Signal может прекратить работу в США в случае принятия законопроекта об отказе от сквозного шифрования

11 апреля 2020 года стало известно, что разработчики защищенного мессенджера Signal намерены прекратить работу программы в США, если власти страны примут законопроект Eliminating Abusive and Rampant Neglect of Interactive Technologies (EARN IT), предполагающий полный отказ от сквозного шифрования.

Signal

Документ EARN IT представляет собой правки к разделу 230 действующего в США закона «Об этике в сфере коммуникации». Данный раздел обеспечивает ИТ-компаниям юридическую защиту от любого контента, размещенного пользователями на их платформе.

Как утверждают авторы законопроекта, крупные компании, включая Google и Facebook, начали злоупотреблять подобной защитой и перестали прилагать усилия для борьбы с незаконным контентом. EARN IT может лишить всех компаний положенного им по текущему закону иммунитета от судебных преследований.

Эдвард Сноуден, рекомендовавший использовать Signal, высказался против EARN IT. По его словам, законопроект противоречит идеям свободы слова.

Однако даже «самый защищенный в мире мессенджер» не способен полностью уберечь пользователей от киберугроз. Как сообщается, в 2019 году в Android-версии Signal была обнаружена логическая ошибка, позволявшая шпионить за пользователями. Преступники могли инициировать вызов и ответить на него без согласия пользователя. Таким образом злоумышленники могли включить микрофон на устройстве и прослушивать ведущиеся вокруг разговоры[4].

2019: Уязвимость, позволяющая включать микрофон на устройстве

5 октября 2019 года стало известно, что в Android-версии защищенного мессенджера Signal выявлена логическая ошибка, позволяющая шпионить за пользователями. Уязвимость заключается в том, что преступники могут инициировать вызов и автоматически ответить на него без согласия пользователя. Иными словами, с помощью бага можно включить микрофон на устройстве и прослушивать ведущиеся вокруг разговоры.

Signal

Проблема схожа с обнаруженным в начале 2019 года багом в функции Apple FaceTime в iOS, также позволявшем услышать звук и увидеть видео с устройства собеседника до того, как он ответит на звонок.

Уязвимость в Signal, обнаруженная специалистом команды Google Project Zero Натали Сильванович (Natalie Silvanovich), связана с методом handleCallConnected, отвечающим за конечное соединение вызова.

«
В обычной ситуации вызов handleCallConnected происходит в двух случаях: когда вызываемое устройство принимает звонок при выборе пользователем ‘принять’ или когда вызывающее устройство получает сообщение ‘соединить’, если вызываемый принял звонок. С помощью модифицированного клиента возможно отправить сообщение ‘соединить’ на вызываемое устройство во время звонка, но до того, как пользователь его принял. Таким образом вызов будет принят даже без участия пользователя,
пишет Сильванович
»

Как отмечается, уязвимость срабатывает только при аудиозвонках, для видео звонков данный метод не подходит, поскольку в приложении Signal пользователям требуется вручную включить камеру.

Несмотря на то, что схожая проблема имеется и в iOS-версии мессенджера, в зоне риска находятся только пользователи Android-версии, поскольку в iOS-клиенте происходит сбой вызова из-за ошибки в пользовательском интерфейсе.

Разработчики приложения были проинформированы о проблеме и устранили ее спустя несколько часов после сообщения исследовательницы[5].

2018

Уязвимость к атакам по сторонним каналам

По сообщению от 13 декабря 2018 года исследователи из Cisco Talos сообщили об уязвимостях в популярных мессенджерах, использующих шифрование. По словам специалистов, WhatsApp, Telegram и Signal можно взломать с помощью атак по сторонним каналам. Подробнее здесь.

В списке 20 самых защищенных мессенджеров по версии Artezio

Аналитический отдел Artezio (входит в группу компаний ЛАНИТ) 26 ноября 2018 года опубликовал список 20 мессенджеров, способных обеспечить высокий уровень приватности. Рейтинг был составлен по итогам комплексного тестирования программ, при этом качество шифрования данных и надежность средств защиты информации были ключевыми критериями при формировании итоговой экспертной оценки, сообщили TAdviser представители Artezio. Топ-8 программ с высоким уровнем приватности возглавил мессенджер Signal. Подробнее здесь.

Ошибка при переходе на Signal Desktop

24 октября 2018 года стало известно, что обновление защищённого мессенджера Signal может иметь довольно неприятные последствия для его пользователей.

Мессенджер Signal продвигается как защищённое средство коммуникации, в котором используется сквозное шифрование, что по идее должно исключать доступ посторонних к содержимому переписки. Однако, как выяснилось, существуют ситуации, когда всё шифрование Signal оказывается бесполезным.

Signal распространяется как расширение к браузеру Google Chrome, и как самостоятельная программа (Signal Desktop). С версии для браузера можно «проапгрейдиться» до десктоп-версии, однако в процессе Signal выкладывает на диск пользовательского устройства всю переписку в незашифрованном виде, причём вместе со всеми вложениями. Приложение затем автоматически ре-импортирует все эти диалоги, однако в определённый период всё, что должно быть зашифровано, лежит на диске в plaintext.

При экспорте диалогов на диск Signal формирует отдельные папки, каждая из которых названа по имени и телефонному номеру контакта. Тем самым уже происходит утечка конфиденциальных данных.

Всё содержимое диалогов хранится в формате JSON. И даже после импорта данных в Signal, всё, что «вывалено» на диск, там и остаётся, и пользователям приходится вручную удалять эти файлы и папки. Никаких предупреждений о том, что информация расшифровывается и выкладывается на диск, программа не выводит. Информация о «баге» разработчикам Signal.

Signal изначально выпускался как приложение для мобильных устройств. Расширение к Chrome было «промежуточным вариантом» адаптации мессенджера к настольным компьютерам - macOS, Linux, Windows и т.д. Уже год как появилась отдельная версия Signal Desktop, не привязанная к Chrome. Более того, расширение к Chrome в скором времени перестанет быть доступным - его разработка прекращена, в скором времени прекратится и поддержка.

«
Для целевой аудитории Signal такие ошибки программистов могут дорого обходиться, особенно в случае, если компьютер оказывается скомпрометирован, а «экспортированные» данные - не удалены. После подобного возникает много вопросов по поводу того, насколько вообще безопасно пользоваться данным мессенджером.
»

По-видимому, это далеко не единственная проблема с Signal. Например, ещё один эксперт, Кит МакКэммон (Keith McCammon), директор по информационной безопасности компании Red Canary, указывает, что Signal Desktop плохо справляется с задачей удаления вложений в «исчезающие» сообщения (то есть, те, которые уничтожаются спустя заданный пользователем промежуток времени). Данная функция позиционировалась разработчиками как дополнительный слой безопасности, но он работает очень ненадёжно. По утверждению МакКэммона, все вложения остаются на диске пользователей Signal даже после того, как должны были исчезнуть[6].

Примечания



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год