- Регистрация
- 17 Окт 2015
- Сообщения
- 12.167
- Репутация
- 4.402
- Реакции
- 16.321
Глюк в Signal: неизвестные контакты и подозрительные звонки
3 апреля, 2024Специалист по кибербезопасности обнаружил странные номера в своем списке доверенных контактов.
Специалист по кибербезопасности Адам Доненфилд поделился в X* необычным сбоем, с которым он столкнулся в использовании мессенджера Signal — это приложение для обмена сообщениями, которое ставит акцент на конфиденциальность и безопасность пользователей. Оно предлагает сквозное шифрование для всех видов переписки, включая текстовые сообщения, голосовые вызовы и видеосвязь, что гарантирует, что только отправитель и получатель могут прочитать или прослушать сообщения.
Суть проблемы заключалась в том, что в список доверенных контактов Доненфилда без его ведома были добавлены неизвестные пользователи под общим наименованием «Signal Connection». Кроме того, были зафиксированы две попытки VoIP-вызова, что добавляло подозрений в нестандартность происходящего.
Сторонние контакты, добавленные в список Доненфилда
По словам Доненфилда, глюк привел к появлению и последующему блокированию контактов, которые имели идентичное имя. Изначально в его списке оказалось около 20 таких аномалий, но затем неожиданно их стало более 100 при последующем входе в приложение. Доненфилд также связал произошедшие VoIP-вызовы с потенциальными сбоями или ошибками в работе VoIP-стека, что могло свидетельствовать о наличии уязвимости нулевого дня.
Интересно, что аналогичные проблемы наблюдались и у ряда пользователей в России, что указывало на широкий спектр воздействия данной проблемы.
Руководитель Signal Мередит Уиттакер пояснила, что происходящее не является следствием целенаправленной Zero Сlick атаки, а скорее результатом ошибки в реализации настроек конфиденциальности, когда номер телефона непреднамеренно связывался с именем пользователя. Уиттакер заверила, что команда разработчиков уже работает над устранением проблемы.
Доненфилд уточнил, что использовал последние версии обеих программ: iOS 17.4 и Signal 7.2, и упомянул, что обновления, исправляющие указанные недочеты, были выпущены уже на следующий день после обнаружения проблемы.
Важным нововведением, представленным в марте текущего года в Signal 7.0, стала функция использования никнеймов вместо номеров телефонов. Такая возможность была протестирована в феврале на ограниченном круге пользователей и теперь доступна всем желающим, позволяя общаться в мессенджере, не раскрывая свои настоящие номера телефонов.