Podvodníkov a útočníkov je v dnešnej dobe ako húb po daždi. Preto je pre používateľov dôležité správať sa v online priestore obozretne a zodpovedne. Lenže táto čarovaná formulka už dávno neplatí len pre nás používateľov. Podľa nej by sa mali riadiť aj vývojári, čo sa v minulosti, ale aj súčasnosti nie vždy deje.
Zraniteľné šifrovanie
Portál BleepingComputer upozornil na zamotanú kauzu okolo populárnej šifrovanej komunikačnej platforme Signal. Jej vývojári sa totiž až teraz, po nebotyčnej kritike, rozhodli riešiť naozaj chúlostivý problém, ktorý mohol ohroziť desaťtisíce používateľov po celom svete.
Išlo o závažnú bezpečnostnú chybu v desktopovej aplikácii, pričom tento problém je známy už od roku 2018. Táto zraniteľnosť mohla umožniť malvéru prístup k zašifrovaným správam používateľov, čím sa vlastne aplikácia míňa účinku. Načo je takáto šifrovaná platforma, keď ju šikovnejší hacker vie napadnúť?
Problém pramenil zo spôsobu, akým Signal ukladal šifrovacie kľúče pre svoju databázu správ. V systémoch Windows aj MacOS boli kľúče uložené v súboroch obyčajného textového dokumentu na lokálnom počítači používateľa. V prípade operačného systému Windows mal tento súbor názov %AppData%\Signal\config.json, v prípade Macu išlo o ~/Library/Application Support/Signal/config.json.
Narastajúca kritika
Bezpečnostní analytici upozorňovali na túto chybu už dlhšie, no postoj Signalu je naozaj hodný zamyslenia. Meredith Whittaker, šéfka Signal Foundation, sa snažila problém bagatelizovať tvrdením, že na zneužitie týchto údajov je potrebný priamy prístup k zariadeniu. Chybu vraj neriešili preto, lebo takúto úroveň zabezpečenia nikdy nedeklarovali.
Lenže kritika narastala. Ozvali sa dokonca až také persóny ako Talal Haj Bakry a Tommy Mysk – bezpečnostní analytici v oblasti mobilného zabezpečenia, klincom do rakvy však bola verejná kritika od Elona Muska na sociálnej sieti X. Po tejto poslednej výzve sa vývojári Signalu konečne začali činiť.
There are known vulnerabilities with Signal that are not being addressed. Seems odd …
— Elon Musk (@elonmusk) May 6, 2024
Konečné riešenie
Nešlo však o verejné uznanie chyby; Signal v podstate len akceptoval návrh nezávislého vývojára Toma Planta, ktorý požiadal spoločnosť o implementáciu opravy pomocou SafeStorage API spoločnosti Electron. Toto riešenie prinesie lepšiu ochranu najmä pre Linux a macOS, pre Windows však nie je až takí optimálne.
Vývojári prisľúbili, že zmena bude zahrnutá v najbližšej beta verzii desktopových aplikácií. Počas prechodného obdobia budú fungovať oba systémy ukladania kľúčov súbežne. Po úplnom prechode na nové API bude pôvodný nechránený súbor odstránený, čím sa významne zvýši bezpečnosť používateľských dát.
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Odhalili bizarné „sprisahanie“. Blízka krajina tvrdí, že ju špehujú cez Pokémon Go
Škandál: Milované aplikácie predávajú toxické oblečenie. Slováci na nich nakupujú jedna radosť
Pripravia ťa o všetko. Ak máš v mobile tieto aplikácie, okamžite ich vymaž (+zoznam)
Slováci si ho zamilujú: Vyskúšali sme „slovenský ChatGPT", je úplne zadarmo
Našli sme zázračnú appku. Nebudeš chápať, ako si bez tejto vychytávky mohol fungovať
- 24 hod
- 48 hod
- 7 dní
-
- Dostal pokutu 100 000 €. Toto za žiadnu cenu nerob za volantom
- Toto NASA nikdy nedokázala. SpaceX práve prepísal históriu ľudstva vo vesmíre, teraz mieri na Mars
- 100-miliónová kópia. Číňania bez hanby „ukradli” najlepšiu raketu USA, no zabudli na dôležitú vec
- Netflix opäť boduje filmovým „odpadom“. Nové sci-fi je obrovský hit, zamilovali si ho aj Slováci
- Sovietske raketomety dostali krídla. Ukrajina vyvinula „kvadrokoptéru“, ktorá Rusov v sekunde rozpráši
-
- Dostal pokutu 100 000 €. Toto za žiadnu cenu nerob za volantom
- 100-miliónová kópia. Číňania bez hanby „ukradli” najlepšiu raketu USA, no zabudli na dôležitú vec
- Sovietske raketomety dostali krídla. Ukrajina vyvinula „kvadrokoptéru“, ktorá Rusov v sekunde rozpráši
- Toto NASA nikdy nedokázala. SpaceX práve prepísal históriu ľudstva vo vesmíre, teraz mieri na Mars
- Neverili sme vlastným očiam. Svet ovládla bizarná umelá inteligencia, ktorá vyzlieka ľudí (+TEST)
-
- Dostal pokutu 100 000 €. Toto za žiadnu cenu nerob za volantom
- Neverili vlastným očiam: V hlbokom vesmíre objavili objekt, ktorý až podozrivo pripomína známy symbol
- 100-miliónová kópia. Číňania bez hanby „ukradli” najlepšiu raketu USA, no zabudli na dôležitú vec
- Aby ho zapli, potrebujú 21 jadrových elektrární. Nový superpočítač je 1000-krát výkonnejší
- Nová zbraň USA nemá konkurenciu. Nepriateľov v sekunde roztrhne na dve polovice (+video)
Napadol takmer 200 krajín. Zákerný malvér infikoval 1,3 milióna TV boxov
Ľudstvo môže byť v ohrození. Ak odomkneme špeciálny kód, vytvoríme nadľudskú umelú inteligenciu
Toto nesmieš zmeškať. Slovákom čoskoro začne neobyčajné nebeské divadlo
AKTUÁLNE: Na Slovensku zajtra spustia novú TV stanicu s unikátnym obsahom, ktorý si zamiluješ
Skoro nikto ho ešte nevidel. Do boja o Oscara sa zapojí aj slovenský film, máme detaily
Copyright© 2024 by Startitup, s. r. o. Všetky práva vyhradené