Расширение Keybase раскрывает сообщения пользователей

Расширение Keybase раскрывает сообщения пользователей

Приложение не обеспечивает сквозное шифрование.

Десктопное расширение приложения Keybase, призванного обезопасить передачу трафика, не обеспечивает в должной мере заявленное разработчиками сквозное шифрование. В ходе анализа работы расширения создатель инструмента AdBlock Plus Владимир Палант заметил , что передаваемые сообщения видимы стороннему JavaScript коду.

Расширение добавляет опцию «Keybase Chat» на страницы профилей в Facebook, Twitter, GitHub, Reddit и Hacker News. Нажатие на кнопку открывает окно чата, где пользователи могут вводить свои сообщения. Как указано в разделе вопросов и ответов политики Keybase, «готовый текст отправляется локальной копии Keybase, которая шифрует сообщение и отправляет его через чат Keybase». По словам Паланта, в этом и кроется проблема: сообщения не шифруются «по пути» к десктопному расширению. Keybase внедряет соответствующую кнопку, но не изолируется от web-страниц.

«Сообщение Keybase, которое вы вводите на Facebook, ни в коей мере не конфиденциально. JavaScript код Facebook может прочитать текст, в то время как вы вводите его», - пояснил Палант.

Данный факт представляет существенный риск, особенно в случаях, если браузер пользователя или JavaScript код ресурсов скомпрометирован. По словам Паланта, использование iframe помогло бы решить проблему, однако в ответ на предложение специалиста разработчики Keybase сообщили, что это невозможно по техническим причинам.

Палант порекомендовал пользователям деинсталлировать приложение, особенно если оно используется для конфиденциальной коммуникации.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться