Сегодня 06 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В защищённом мессенджере Signal устранили уязвимость, которую разработчики игнорировали шесть лет

Разработчики приложения Signal только сейчас приняли меры для устранения уязвимости в десктопной версии клиента, на которую им указали ещё в 2018 году — в течение шести лет они не считали её проблемой и говорили об отсутствии обязательств делать это.

 Источник изображения: Mika Baumeister / unsplash.com

Источник изображения: Mika Baumeister / unsplash.com

При установке настольного приложения Signal для Windows или macOS создаётся зашифрованная база данных SQLite, в которой хранятся сообщения пользователя. Шифрование этой базы осуществляется при помощи ключа, который генерируется программой без участия пользователя. Чтобы программа могла открывать базу данных и использовать её для хранения переписки, ей необходим доступ к ключу шифрования — он хранится в папке приложения в открытом виде в файле формата JSON. Но если доступ к этому ключу есть у приложения, то сделать это могут любой другой работающий на том же компьютере пользователь или другое приложение — в результате шифрование базы данных оказывается бесполезным, потому что не обеспечивает дополнительной безопасности.

 Источник изображения: x.com/elonmusk

Источник изображения: x.com/elonmusk

Пользователи мессенджера неоднократно сообщали об этом его разработчикам с 2018 года, но ответ был всегда примерно одинаковым: они никогда не утверждали, что обеспечивают безопасность базы данных. В мае этого года на проблему обратил внимание Илон Маск (Elon Musk), который написал в своей соцсети X, что существуют известные уязвимости в Signal, которые не исправляются. Служба проверки фактов на платформе опровергла это заявление, отметив, что надлежащим образом зарегистрированных уязвимостей в мессенджере не обнаружено — этот тезис подтвердила и президент Signal Мередит Уиттакер (Meredith Whittaker).

Ситуация продолжала накаляться, но разрешению проблемы способствовал независимый разработчик Том Плант (Tom Plant), который предложил использовать для защиты хранилища данных Signal средства Electron SafeStorage API. Это позволит перенести ключи шифрования в защищённые местоположения: для Windows это DPAPI, для macOS — «Связка ключей» (Keychain), а для Linux — секретное хранилище текущего оконного менеджера, например, kwallet или gnome-libsecret. Это не совсем безупречное решение, особенно в Windows с DPAPI, но всё-таки дополнительная мера защиты. И два дня назад представитель Signal сообщил, что предложенное решение было интегрировано в мессенджер, и оно уже появится в предстоящей бета-версии клиента. Пока новая реализация тестируется, разработчики Signal сохранили резервный механизм, который позволяет программе расшифровывать базу данных привычным способом.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Не только Fallout и The Elder Scrolls: авторитетный инсайдер прояснил новые приоритеты Xbox для Bethesda 52 мин.
Selectel и ИТМО создали СП для разработки платформы по созданию ИИ-агентов для бизнеса 2 ч.
Представлена российская платформа «Боцман AI» для запуска ИИ-моделей внутри защищённого контура компании 3 ч.
Xbox уволит 3200 сотрудников и избавится от пяти игровых студий, но есть и хорошая новость 3 ч.
EA Sports FC 26 в разгар Чемпионата мира по футболу установила новый рекорд популярности среди футбольных симуляторов Electronic Arts в Steam 4 ч.
Японского школьника арестовали за атаку на Bandai Namco с помощью вируса, сгенерированного ChatGPT 4 ч.
«Чёрт возьми, выглядит великолепно»: блогер показал четыре часа геймплея Assassin’s Creed Black Flag Resynced, и фанаты в восторге 8 ч.
В Китае запретят слишком человечных ИИ-компаньонов — ByteDance и Alibaba уже начали отключать функцию 9 ч.
Кодзима опечалился смертью дисков PlayStation и предупредил о «пугающем» цифровом будущем, в котором игроки ничем не владеют 10 ч.
Инди-хит Meccha Chameleon стал главным бестселлером 2026 года — 15 миллионов проданных копий за месяц 12 ч.
Дата-центр Meta заразил редкой бактерией очистные сооружения американского городка 2 ч.
Intel задумалась о подводе питания с обеих сторон кристалла для техпроцесса Intel 14A2 3 ч.
Apple договорилась с Broadcom о поставках кастомных ИИ-чипов до 2031 года 3 ч.
Передовой ИИ ЦОД Microsoft Fairwater в Висконсине оказался не только продвинутым, но и шумным 4 ч.
QTS и Compass отказались от создания крупнейшего в мире кампуса ЦОД Digital Gateway после многолетней борьбы с местными жителями 5 ч.
Noctua намерена выпустить чёрные версии СЖО NL-LC1 к концу текущего года 6 ч.
Brookfield увеличит инвестиции в Bloom Energy до $25 млрд — для внедрения топливных ячеек в ИИ ЦОД 6 ч.
На следующей неделе обделённые премиями работники Samsung проведут свою забастовку 6 ч.
Несмотря на цену до $2500, складной iPhone Ultra поначалу будет в дефиците 7 ч.
NVIDIA откладывает выпуск стоек Kyber на год и отказывается от архитектуры NVL72×2 7 ч.