Специалисты обнаружили уязвимость в защищенном мессенджере Signal.
Исследователь Дэвид Уэллс (David Wells) из компании Tenable обнаружил уязвимость ( CVE-2020–5753 ) в защищенном мессенджере Signal, эксплуатация которой позволят злоумышленнику отслеживать местоположение пользователя.
Для отслеживания перемещения пользователя преступнику достаточно просто осуществить звонок в мессенджере Signal. По словам Уэллса, если два пользователя Signal добавили друг друга в контактах, они могут определить местоположение и IP-адрес друг друга путем простого звонка, даже если пользователь не отвечает на звонок. Однако даже если звонящего нет в списке контактов, он все равно может определить приблизительное местоположение пользователя, просто позвонив в мессенджере.
«Суть проблемы в том, что пользователи оказываются беспомощными перед подобным методом», — отметил специалист.
Signal использует собственный форк WebRTC для осуществления звонков. В качестве защитной меры приложение не отправляет публичный/закрытый IP-адрес в случае,если пользователь получает звонок от абонента, не находящегося в списке контактов. Кроме того, при желании пользователь может скрыть публичный/закрытый IP-адрес, выбрав соответствующую опцию. Вместо IP-адреса пользователя Signal отправит IP-адреса ближайшего Signal TURN сервера.
Разработчики Signal уже выпустили исправления для уязвимости и обновленные версии мессенджера доступны в магазинах Google Play Store и Apple App Store.
WebRTC (Web Real Time Communications) — проект с открытым исходным кодом, предназначенный для организации передачи потоковых данных между браузерами или другими поддерживающими его приложениями по технологии точка-точка.
Открой дверь в мир, где наука не имеет границ — подписывайся на наш канал!