Из-за ошибки в Keybase закрытые ключи пользователей сохраняются на серверах Google

Компания Keybase предупредила пользователей Android-устройств об ошибке в своем мобильном приложении, из-за которой закрытые ключи шифрования для переписки и других данных автоматически сохранялись в резервных копиях на серверах Google. Закрытые ключи используются в паре с открытыми для проверки личности пользователей и шифрования сообщений, отправляемых через чат Keybase. Согласно уведомлению компании, в настоящее время ошибка уже исправлена.

Баг затрагивает только пользователей, скачавших Android-приложение Keybase одними из первых (порядка 10%). Проблема касается тех, кто делает резервные копии своих Android-устройств через Google Play, повторно использует пароли от других сервисов или использует слабые парольные фразы.

«В ранней бета-версии нашего Android-приложения есть ошибка, из-за которой Google может создавать зашифрованные резервные копии вашего ключа (зашифрованные с помощью выбранной вами парольной фразы Keybase, которую не знают ни Keybase, ни Google). Некоторые пользователи воспринимают это как функцию, позволяющую с помощью резервных копий продолжать использовать Keybase на новых Android-устройствах. Однако мы не имели цели реализовать подобную функцию. Наоборот, мы хотели, чтобы новые установки Keybase не могли работать из резервных копий. Почему? Потому что многие пользователи выбирают очень слабые пароли», - говорится в уведомлении компании.

Проблема не представляет собой угрозу, если парольную фразу, с помощью которой шифруется резервная копия ключа, сложно взломать. Для начала атакующему придется получить доступ к учетной записи жертвы в Google (для того чтобы добраться до резервных копий), а затем к парольной фразе (для расшифровки закрытого ключа). Если парольная фраза недостаточно надежная, злоумышленник сможет расшифровать ключ и использовать его для расшифровки всей переписки и других данных в Keybase.