Коды безопасности Signal меняются не всегда, и вот почему

7 июня 2021 года

<dynamicpagelist>

category = Опубликовано category = Информационная безопасность notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

Исследователи безопасности сделали интересное открытие, используя мессенджер Signal на разных платформах. Когда пользователь или кто-то из списка его контактов переустанавливает приложение или переходит на новое устройство уникальный код безопасности Signal, защищающий разговоры и переписку между ними, меняется не всегда.

Код безопасности – это функция Signal, позволяющая пользователям проверять безопасность своих сообщений и звонков. У пользователя мессенджера и каждого его контакта есть уникальный номер безопасности, играющий роль отпечатка, который помогает обоим контактам проверять конфиденциальность сообщений.

Один из контактов может открыть приложение, ввести имя второго контакта и нажать на «Подтвердить код безопасности», и отобразится код, с помощью которого можно проверить подлинность переписки между двумя этими контактами. Код отображается в виде как набора цифр, так и QR-кода. Предполагается, что после смены номера телефона, переустановки приложения или перехода на другое устройство он должен меняться, по крайней мере, еще в прошлом месяце в документации Signal говорилось именно так. Тем не менее, как выяснили исследователи безопасности Келли Каоудис (Kelly Kaoudis), Джон Джексон (John Jackson), Sick Codes и Роберт Уиллис (Robert Willis), код меняется не всегда.

Необычное поведения первой обнаружила Келли Каоудис. Ее коллеги решили проверить

	это открытие, и оказалось, что на платформах Linux, OSX, Android, iOS и Windows после удаления и переустановки Signal или после смены устройства коды безопасности не менялись.

Каоудис написала разработчикам приложения о проблеме, и она мистическим образом исчезла (по мнению Каоудис, проблема была исправлена с выходом патча). Также, похоже, была отредактирована документация – в частности, исчезло упоминание о том, что после переустановки приложения или смены устройства код безопасности должен меняться.

«Наиболее распространенные сценарии, когда отображается уведомление с кодом безопасности, - это когда контакт переключается на новый телефон или повторно устанавливает Signal, но эти действия не всегда приводят к изменению кода безопасности», - сообщается

	в текущей версии документации приложения.

С целью выяснить, при каких обстоятельствах код безопасности меняется, и при каких нет, сотрудники BleepingComputer обратились к Signal. В ответ разработчики приложения заявили, что в его исходный код не было внесено никаких изменений, касающихся кодов безопасности.

В свою очередь, вице-президент Signal по техническим вопросам Джим О'Лири (Jim O'Leary) сообщил, что все недавние изменения являются частью обычных функциональных обновлений, и объяснил, почему коды безопасности не меняются ни при каких обстоятельствах.

«Всем привет! Signal не начал тайную рассылку исправлений, потому что тут нечего исправлять. Пятничный релиз является частью наших регулярных обновлений функционала и улучшений приложения. По замыслу, коды безопасности не меняются при передаче устройства или при изменении связанного устройства, потому что ключевой материал не меняется. Мы объясняли это несколько раз и даже добавляли в нашу справочную статью/FAQ. Здесь ничего не поменялось», - сообщил О'Лири в Twitter.

Генеральный директор Signal Мокси Марлинспайк также вмешался в переписку в Twitter с целью пролить свет на обстоятельства, при которых коды безопасности не меняются.

«Вы пробовали (и сообщили об этом) установить Signal на новое устройство с помощью device transfer, и попытались циклически включить связанное устройство. Это не привело к появлению предупреждения об изменении кода безопасности, потому что основной ключевой материал не изменился, поэтому не о чем предупреждать», - пояснил

	Марлинспайк.

Под «ключевым материалом» Марлинспайк подразумевает технологию, лежащую в основе кодов безопасности и того, как они генерируются.

 

ИсточникиПравить

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Коды безопасности Signal меняются не всегда, и вот почему