Podvodníkov a útočníkov je v dnešnej dobe ako húb po daždi. Preto je pre používateľov dôležité správať sa v online priestore obozretne a zodpovedne. Lenže táto čarovaná formulka už dávno neplatí len pre nás používateľov. Podľa nej by sa mali riadiť aj vývojári, čo sa v minulosti, ale aj súčasnosti nie vždy deje.
Zraniteľné šifrovanie
Portál BleepingComputer upozornil na zamotanú kauzu okolo populárnej šifrovanej komunikačnej platforme Signal. Jej vývojári sa totiž až teraz, po nebotyčnej kritike, rozhodli riešiť naozaj chúlostivý problém, ktorý mohol ohroziť desaťtisíce používateľov po celom svete.
Išlo o závažnú bezpečnostnú chybu v desktopovej aplikácii, pričom tento problém je známy už od roku 2018. Táto zraniteľnosť mohla umožniť malvéru prístup k zašifrovaným správam používateľov, čím sa vlastne aplikácia míňa účinku. Načo je takáto šifrovaná platforma, keď ju šikovnejší hacker vie napadnúť?
Problém pramenil zo spôsobu, akým Signal ukladal šifrovacie kľúče pre svoju databázu správ. V systémoch Windows aj MacOS boli kľúče uložené v súboroch obyčajného textového dokumentu na lokálnom počítači používateľa. V prípade operačného systému Windows mal tento súbor názov %AppData%\Signal\config.json, v prípade Macu išlo o ~/Library/Application Support/Signal/config.json.

Narastajúca kritika
Bezpečnostní analytici upozorňovali na túto chybu už dlhšie, no postoj Signalu je naozaj hodný zamyslenia. Meredith Whittaker, šéfka Signal Foundation, sa snažila problém bagatelizovať tvrdením, že na zneužitie týchto údajov je potrebný priamy prístup k zariadeniu. Chybu vraj neriešili preto, lebo takúto úroveň zabezpečenia nikdy nedeklarovali.
Lenže kritika narastala. Ozvali sa dokonca až také persóny ako Talal Haj Bakry a Tommy Mysk – bezpečnostní analytici v oblasti mobilného zabezpečenia, klincom do rakvy však bola verejná kritika od Elona Muska na sociálnej sieti X. Po tejto poslednej výzve sa vývojári Signalu konečne začali činiť.
There are known vulnerabilities with Signal that are not being addressed. Seems odd …
— Elon Musk (@elonmusk) May 6, 2024
Konečné riešenie
Nešlo však o verejné uznanie chyby; Signal v podstate len akceptoval návrh nezávislého vývojára Toma Planta, ktorý požiadal spoločnosť o implementáciu opravy pomocou SafeStorage API spoločnosti Electron. Toto riešenie prinesie lepšiu ochranu najmä pre Linux a macOS, pre Windows však nie je až takí optimálne.
Vývojári prisľúbili, že zmena bude zahrnutá v najbližšej beta verzii desktopových aplikácií. Počas prechodného obdobia budú fungovať oba systémy ukladania kľúčov súbežne. Po úplnom prechode na nové API bude pôvodný nechránený súbor odstránený, čím sa významne zvýši bezpečnosť používateľských dát.
Čítajte viac z kategórie: Aplikácie
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú

Jedna appka mala Slovákom zjednodušiť cestovanie. Vyzerá to však na národnú hanbu za 26 mil. eur

Ak 20-krát neuhádneš PIN mobilu, už ho ním neodomkneš. Androidy dostanú vylepšenie

Rusko odporúča ľuďom okamžite prejsť na Android. Američania ich pichli do citlivého miesta

Microsoft prehral boj s používateľmi. Windows 10 dostal druhú šancu

AKTUÁLNE: Facebook postihol masívny výpadok. Ľudia hlásia problémy po celom svete
NAJČÍTANEJŠIE ZO STARTITUP

Drony na útok v Rusku išli z Bratislavy, tvrdí ruská FSB. Obvinili aj známeho rappera
PREMIUMFinančný sprostredkovateľ otvorene: Takúto províziu dostávame, nič nie je zadarmo (ROZHOVOR)

Slovensko zasiahne vlna búrok a povodne. Meteoexperti ukázali regióny, v ktorých bude situácia najhoršia (PREDPOVEĎ)

Súčasní tridsiatnici už nedostanú dôchodky od štátu. Milan Dubec vysvetľuje, čo ťa zachráni pred chudobou v starobe

Trump chce odpáliť najtvrdší cieľ Iránu. „Krompáčová hora“ však môže odolať aj najsilnejšej bombe
- 24 hod
- 48 hod
- 7 dní
-
- Obrovský zvrat vo Volkswagene. Autá pre kľúčový trh už nedodá zo Slovenska, zaplaví ho lacnejšou Čínou
- Zlý film ešte nenatočil. Christoper Nolan chystá najväčšiu vec, do akej sa kedy pustil
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a v Európe dostali zelenú
- Slováci chcú ušetriť na prezúvaní. Tieto pneumatiky však majú háčik, ktorý sa ukáže až na ceste
- Je to tu. Najočakávanejšie sci-fi roka dostalo dychberúci trailer, ukazuje pád galaxie
-
- Obrovský zvrat vo Volkswagene. Autá pre kľúčový trh už nedodá zo Slovenska, zaplaví ho lacnejšou Čínou
- Tepelné čerpadlo alebo plynový kotol? Prepočítali sme, čo sa dnes Slovákom oplatí viac
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a v Európe dostali zelenú
- Nemáš doma klimatizáciu? Byt vieš ochladiť aj lacnejšie, no väčšina ľudí robí jednu zásadnú chybu
- Netflix ešte podobnú vec neurobil. Najväčší trhák príde neskôr a úplne inak, než ktokoľvek čakal
-
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a v Európe dostali zelenú
- Majú vydržať desaťročia, no kapú po 3 rokoch. LED žiarovky doplácajú na marketingovú lož
- Slováci robia pri kúpe klimatizácie rovnakú chybu. V horúčavách za ňu draho zaplatia
- Obrovský zvrat vo Volkswagene. Autá pre kľúčový trh už nedodá zo Slovenska, zaplaví ho lacnejšou Čínou
- Nemáš doma klimatizáciu? Byt vieš ochladiť aj lacnejšie, no väčšina ľudí robí jednu zásadnú chybu
Google definitívne prehral. EÚ potvrdila rekordnú pokutu za Android
Čínska automobilka mieri vysoko. Do roku 2030 chce ovládnuť až 5 % európskeho trhu
Ázijský tiger spúšťa veľkú investíciu. Do výroby čipov naleje viac než 500 miliárd dolárov
Holandsko úplne zmenilo svojich dodávateľov energií. Rusov nahradilo USA, dovoz prudko stúpol
Európa zrýchľuje budovanie obrovských batérií. Podporí projekty, ktoré majú stabilizovať elektrické siete
Poľsko masívne posilní dovoz plynu. Chystá niečo, čo pomôže celej strednej Európe
Slováci si rýchlo zvykli na nový spôsob platenia. Štátne platby prekonali 5 miliónov eur
NAJČÍTANEJŠIE ZO STARTITUP

Drony na útok v Rusku išli z Bratislavy, tvrdí ruská FSB. Obvinili aj známeho rappera
PREMIUMFinančný sprostredkovateľ otvorene: Takúto províziu dostávame, nič nie je zadarmo (ROZHOVOR)

Slovensko zasiahne vlna búrok a povodne. Meteoexperti ukázali regióny, v ktorých bude situácia najhoršia (PREDPOVEĎ)

Súčasní tridsiatnici už nedostanú dôchodky od štátu. Milan Dubec vysvetľuje, čo ťa zachráni pred chudobou v starobe

