SIGNAL: МИФЫ И РЕАЛЬНОСТЬ БЕЗОПАСНОСТИ. ПОЧЕМУ ЭТО НЕ САМЫЙ БЕЗОПАСНЫЙ МЕССЕНДЖЕР.
/Наконец-то у меня дошли руки до этого "безопасного" мессенджера:)
-- Генезис Signal --
Запущенный в 2014 году инициативой Мокси Марлинспайка и Брайана Эктона, соучредителя WhatsApp, Signal возник из стремления обеспечить пользователей платформой для зашифрованных и безопасных коммуникаций. Проект, задуманный Марлинспайком и Майклом Карриером, привел к созданию приложения, использующего протокол шифрования end-to-end, разработанный некоммерческой организацией Signal Foundation. Signal набрал популярность, когда Эдвард Сноуден рекомендовал его как надежное средство для конфиденциального общения в 2013 году.
-- Что внутри Signal? --
Signal применяет протокол TextSecure с алгоритмом Double Ratchet для обеспечения обмена зашифрованными сообщениями между сторонами на основе общего секретного ключа. Система генерирует новые ключи для каждого сообщения, делая невозможным вычисление предыдущих ключей из последующих, и использует открытые значения Диффи-Хеллмана для дополнительной безопасности.
-- О проблемах уязвимости --
Несмотря на высокий уровень шифрования, были обнаружены уязвимости. Использование устройства UFED позволяло извлекать номера телефонов и фотографии из контактов Signal https://habr.com/ru/news/t/533188. В январе 2023 года были выявлены две уязвимости в десктопных клиентах (CVE-2023-24068 и CVE-2023-24069 - (Windows/Mac)), позволяющие локально модифицировать вложения в разговорах. Также были проблемы с функцией "Исчезающие сообщения" и другие уязвимости, позволяющие подделывать URL-адреса или удаленно выполнять код на устройствах жертв. Все перечисленные способы применяются только ЛОКАЛЬНО.
-- Скандалы и проблемы с правоохранительными органами --
Signal стал объектом атаки со стороны компании FinFisher, а в 2021 году стало известно о способности ФБР получать доступ к зашифрованным сообщениям через уязвимости в iPhone. После утечки данных ФБР, Signal начал собирать IP-адреса отправителей в рамках компромисса с правоохранительными органами. Signal использует Amazon Web Services для хостинга и ищет способы шифрования IP-адресов и других метаданных для защиты от анализа трафика. Уязвимость заключалась в том, как Signal обрабатывал вложения файлов. - https://www.kaspersky.com/blog..../finspy-commercial-s.
-- Политика конфиденциальности и спонсирование --
Политика конфиденциальности Signal подразумевает сотрудничество с третьими сторонами для предоставления услуг и возможность передачи данных юридическим органам по официальному запросу. Существуют утверждения о финансировании Signal ЦРУ через "Radio Free Asia" и Open Technology Fund, хотя Мокси Марлинспайк утверждает, что финансирование прекратилось в 2023 году.
Signal продолжает исправлять обнаруженные уязвимости, но возможно существование неизвестных проблем, ставящих под вопрос безопасность и конфиденциальность общения через этот мессенджер.
-
Автор: Isa Dagestani
Comment has been successfully reported
The post has been successfully added to your timeline!
You have reached your limit of 100000 friends!
File size error: The file exceeds the allowed limit (9 GB) and can not be uploaded.
Your video is being processed,
We’ll let you know when it's ready to view.
It's impossible to upload the file: This file type is not supported.
We have detected adult content on the uploaded image,
therefore we have declined the uploading process.
To get a verification (tick) on the Islamic social network Umma Life, you must meet at least one of the following criteria: 1. Social network activity: Participants seeking verification must be active users of the social network. At least one useful message must be posted per day, and the message topics can be non-religious. 2. A well-known Islamic blogger or Muslim: If you are a well-known Islamic blogger or Muslim, even if your activities are not related to religious topics on the Internet, you can also apply for verification. 3. A large number of subscribers or active religious pages: If you have a lot of subscribers on social networks or you actively manage useful religious pages, this can also be a basis for getting verified. If you meet at least one of these criteria, submit an application for verification on the Islamic social network Umma Life via private message https://ummalife.com/ummalife and your account will be reviewed by the social network administration.