Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В защищённом мессенджере Signal устранили уязвимость, которую разработчики игнорировали шесть лет

Разработчики приложения Signal только сейчас приняли меры для устранения уязвимости в десктопной версии клиента, на которую им указали ещё в 2018 году — в течение шести лет они не считали её проблемой и говорили об отсутствии обязательств делать это.

 Источник изображения: Mika Baumeister / unsplash.com

Источник изображения: Mika Baumeister / unsplash.com

При установке настольного приложения Signal для Windows или macOS создаётся зашифрованная база данных SQLite, в которой хранятся сообщения пользователя. Шифрование этой базы осуществляется при помощи ключа, который генерируется программой без участия пользователя. Чтобы программа могла открывать базу данных и использовать её для хранения переписки, ей необходим доступ к ключу шифрования — он хранится в папке приложения в открытом виде в файле формата JSON. Но если доступ к этому ключу есть у приложения, то сделать это могут любой другой работающий на том же компьютере пользователь или другое приложение — в результате шифрование базы данных оказывается бесполезным, потому что не обеспечивает дополнительной безопасности.

 Источник изображения: x.com/elonmusk

Источник изображения: x.com/elonmusk

Пользователи мессенджера неоднократно сообщали об этом его разработчикам с 2018 года, но ответ был всегда примерно одинаковым: они никогда не утверждали, что обеспечивают безопасность базы данных. В мае этого года на проблему обратил внимание Илон Маск (Elon Musk), который написал в своей соцсети X, что существуют известные уязвимости в Signal, которые не исправляются. Служба проверки фактов на платформе опровергла это заявление, отметив, что надлежащим образом зарегистрированных уязвимостей в мессенджере не обнаружено — этот тезис подтвердила и президент Signal Мередит Уиттакер (Meredith Whittaker).

Ситуация продолжала накаляться, но разрешению проблемы способствовал независимый разработчик Том Плант (Tom Plant), который предложил использовать для защиты хранилища данных Signal средства Electron SafeStorage API. Это позволит перенести ключи шифрования в защищённые местоположения: для Windows это DPAPI, для macOS — «Связка ключей» (Keychain), а для Linux — секретное хранилище текущего оконного менеджера, например, kwallet или gnome-libsecret. Это не совсем безупречное решение, особенно в Windows с DPAPI, но всё-таки дополнительная мера защиты. И два дня назад представитель Signal сообщил, что предложенное решение было интегрировано в мессенджер, и оно уже появится в предстоящей бета-версии клиента. Пока новая реализация тестируется, разработчики Signal сохранили резервный механизм, который позволяет программе расшифровывать базу данных привычным способом.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Мониторы LG и Alienware уличили в установке ПО с назойливой рекламой для Windows 2 ч.
Завтра мощнейшие ИИ-модели GPT-5.6 станут доступны для всех — власти США сняли запрет 2 ч.
Датамайнер раскрыл дату релиза жестокого ролевого боевика Mortal Shell 2 — долго ждать не придётся 3 ч.
За два с половиной года раннего доступа в симулятор «покемонов с пушками» Palworld сыграло 40 миллионов человек 4 ч.
Owlcat починила Warhammer 40,000: Rogue Trader на Switch 2 — все DLC для игры стали бесплатными 6 ч.
Microsoft начала больше использовать свои ИИ-модели в сервисах, чтобы меньше платить OpenAI и Anthropic 6 ч.
Meta представила Muse Image — свою первую серьёзную модель для генерации изображений, которая будет доступна Meta AI и соцсетях 6 ч.
Meta сократила простои ИИ-ускорителей, полностью перестроив своё глобальное хранилище данных 7 ч.
Китай собирается строить ИИ-занавес: власти рассматривают запрет зарубежного доступа к местным ИИ-моделям 11 ч.
Продажи No Rest for the Wicked в раннем доступе Steam превысили 2 миллиона копий, и «лучшее ещё впереди» 17 ч.
Amazon выпустила облигации на $25 млрд, чтобы покрыть затраты на ИИ-инфраструктуру 2 ч.
Sony согласилась выпускать диски и в 2028 году, но только со старыми играми 2 ч.
Плоды ИИ-бума: производитель SSD и памяти Lexar предрёк рост прибыли на 60 000 % в первом полугодии 2 ч.
«ДАТАРК» инвестирует 35 млн рублей в развитие производства модульных ЦОД в Свердловской области 2 ч.
Китайцы вывели «вечные» атомные батарейки на новый уровень мощности 2 ч.
TensorWave привлекла $350 млн на расширение ИИ-облака с AMD Instinct — AMD тоже вложилась 3 ч.
Южнокорейская KT построит 1 ГВт мощностей ЦОД и получит международные интернет-каналы на 90 Тбит/с 3 ч.
Высокогорный ИИ: DataHub и Hosted AI запустят в Непале облако YetiCloud 3 ч.
Biostar представила компьютер EdgeComp MS-NAT4000 для периферийного ИИ на базе NVIDIA Jetson Thor T4000 3 ч.
Выход на IPO, интерес Apple и высокие цены на память помогут CXMT запустить производство HBM в Китае 5 ч.