SIGNAL: МИФЫ И РЕАЛЬНОСТЬ БЕЗОПАСНОСТИ. ПОЧЕМУ ЭТО НЕ САМЫЙ БЕЗОПАСНЫЙ МЕССЕНДЖЕР.
/Наконец-то у меня дошли руки до этого "безопасного" мессенджера:)
-- Генезис Signal --
Запущенный в 2014 году инициативой Мокси Марлинспайка и Брайана Эктона, соучредителя WhatsApp, Signal возник из стремления обеспечить пользователей платформой для зашифрованных и безопасных коммуникаций. Проект, задуманный Марлинспайком и Майклом Карриером, привел к созданию приложения, использующего протокол шифрования end-to-end, разработанный некоммерческой организацией Signal Foundation. Signal набрал популярность, когда Эдвард Сноуден рекомендовал его как надежное средство для конфиденциального общения в 2013 году.
-- Что внутри Signal? --
Signal применяет протокол TextSecure с алгоритмом Double Ratchet для обеспечения обмена зашифрованными сообщениями между сторонами на основе общего секретного ключа. Система генерирует новые ключи для каждого сообщения, делая невозможным вычисление предыдущих ключей из последующих, и использует открытые значения Диффи-Хеллмана для дополнительной безопасности.
-- О проблемах уязвимости --
Несмотря на высокий уровень шифрования, были обнаружены уязвимости. Использование устройства UFED позволяло извлекать номера телефонов и фотографии из контактов Signal https://habr.com/ru/news/t/533188. В январе 2023 года были выявлены две уязвимости в десктопных клиентах (CVE-2023-24068 и CVE-2023-24069 - (Windows/Mac)), позволяющие локально модифицировать вложения в разговорах. Также были проблемы с функцией "Исчезающие сообщения" и другие уязвимости, позволяющие подделывать URL-адреса или удаленно выполнять код на устройствах жертв. Все перечисленные способы применяются только ЛОКАЛЬНО.
-- Скандалы и проблемы с правоохранительными органами --
Signal стал объектом атаки со стороны компании FinFisher, а в 2021 году стало известно о способности ФБР получать доступ к зашифрованным сообщениям через уязвимости в iPhone. После утечки данных ФБР, Signal начал собирать IP-адреса отправителей в рамках компромисса с правоохранительными органами. Signal использует Amazon Web Services для хостинга и ищет способы шифрования IP-адресов и других метаданных для защиты от анализа трафика. Уязвимость заключалась в том, как Signal обрабатывал вложения файлов. - https://www.kaspersky.com/blog/finspy-commercial-spyware/27606.
-- Политика конфиденциальности и спонсирование --
Политика конфиденциальности Signal подразумевает сотрудничество с третьими сторонами для предоставления услуг и возможность передачи данных юридическим органам по официальному запросу. Существуют утверждения о финансировании Signal ЦРУ через "Radio Free Asia" и Open Technology Fund, хотя Мокси Марлинспайк утверждает, что финансирование прекратилось в 2023 году.
Signal продолжает исправлять обнаруженные уязвимости, но возможно существование неизвестных проблем, ставящих под вопрос безопасность и конфиденциальность общения через этот мессенджер.
-
Автор: Isa Dagestani
https://linktr.ee/isa_dagestani
SIGNAL: МИФЫ И РЕАЛЬНОСТЬ БЕЗОПАСНОСТИ. ПОЧЕМУ ЭТО НЕ САМЫЙ БЕЗОПАСНЫЙ МЕССЕНДЖЕР.
/Наконец-то у меня дошли руки до этого "безопасного" мессенджера:)
-- Генезис Signal --
Запущенный в 2014 году инициативой Мокси Марлинспайка и Брайана Эктона, соучредителя WhatsApp, Signal возник из стремления обеспечить пользователей платформой для зашифрованных и безопасных коммуникаций. Проект, задуманный Марлинспайком и Майклом Карриером, привел к созданию приложения, использующего протокол шифрования end-to-end, разработанный некоммерческой организацией Signal Foundation. Signal набрал популярность, когда Эдвард Сноуден рекомендовал его как надежное средство для конфиденциального общения в 2013 году.
-- Что внутри Signal? --
Signal применяет протокол TextSecure с алгоритмом Double Ratchet для обеспечения обмена зашифрованными сообщениями между сторонами на основе общего секретного ключа. Система генерирует новые ключи для каждого сообщения, делая невозможным вычисление предыдущих ключей из последующих, и использует открытые значения Диффи-Хеллмана для дополнительной безопасности.
-- О проблемах уязвимости --
Несмотря на высокий уровень шифрования, были обнаружены уязвимости. Использование устройства UFED позволяло извлекать номера телефонов и фотографии из контактов Signal https://habr.com/ru/news/t/533188. В январе 2023 года были выявлены две уязвимости в десктопных клиентах (CVE-2023-24068 и CVE-2023-24069 - (Windows/Mac)), позволяющие локально модифицировать вложения в разговорах. Также были проблемы с функцией "Исчезающие сообщения" и другие уязвимости, позволяющие подделывать URL-адреса или удаленно выполнять код на устройствах жертв. Все перечисленные способы применяются только ЛОКАЛЬНО.
-- Скандалы и проблемы с правоохранительными органами --
Signal стал объектом атаки со стороны компании FinFisher, а в 2021 году стало известно о способности ФБР получать доступ к зашифрованным сообщениям через уязвимости в iPhone. После утечки данных ФБР, Signal начал собирать IP-адреса отправителей в рамках компромисса с правоохранительными органами. Signal использует Amazon Web Services для хостинга и ищет способы шифрования IP-адресов и других метаданных для защиты от анализа трафика. Уязвимость заключалась в том, как Signal обрабатывал вложения файлов. - https://www.kaspersky.com/blog..../finspy-commercial-s.
-- Политика конфиденциальности и спонсирование --
Политика конфиденциальности Signal подразумевает сотрудничество с третьими сторонами для предоставления услуг и возможность передачи данных юридическим органам по официальному запросу. Существуют утверждения о финансировании Signal ЦРУ через "Radio Free Asia" и Open Technology Fund, хотя Мокси Марлинспайк утверждает, что финансирование прекратилось в 2023 году.
Signal продолжает исправлять обнаруженные уязвимости, но возможно существование неизвестных проблем, ставящих под вопрос безопасность и конфиденциальность общения через этот мессенджер.
-
Автор: Isa Dagestani
11
1
1
1