Clave de descifrado de mensajes Signal se almacena en texto sin formato

El investigador de ingeniería inversa Nathaniel Suchy descubrió que la aplicación Signal Desktop deja la clave de descifrado del mensaje en texto sin formato, exponiéndolos a un atacante.

La aplicación Signal Desktop deja la clave de descifrado de mensajes en texto sin formato, exponiéndolos potencialmente a un atacante. El problema fue descubierto por el investigador de ingeniería inversa Nathaniel Suchy

La falla afecta el proceso implementado por la aplicación Signal Desktop para cifrar los mensajes almacenados localmente.

La aplicación Signal Desktop aprovecha una base de datos SQLite cifrada llamada db.sqlite para almacenar los mensajes del usuario. La clave de cifrado para la base de datos cifrada es generada por la aplicación durante la fase de instalación.

La clave se almacena en texto sin formato en un archivo local llamado %AppData%\Signal\config.json en PC con Windows y en una Mac en ~/Library/Application Support/Signal/config.json.

La clave de cifrado se utiliza cada vez que la aplicación Signal Desktop accede a la base de datos.

“Para ilustrar este problema, BleepingComputer instaló la aplicación Signal Desktop y envió algunos mensajes de prueba . Primero abrimos nuestro archivo config.json para recuperar la clave de cifrado, que se muestra arriba. ”Lea una publicación del blog publicada por Bleeping Computer.

"Luego abrimos la base de datos ubicada en% AppData% \ Roaming \ Signal \ sql \ db.sqlite usando un programa llamado SQLite Database Browser ".

Al ingresar la clave, los expertos de Bleeping Computer pudieron leer el contenido de la base de datos.

El problema podría resolverse fácilmente requiriendo que los usuarios establezcan una contraseña que se usaría para cifrar la clave de la clave de cifrado de la base de datos.

"Esto se mitigaría fácilmente si se requiere que los usuarios establezcan una contraseña y utilicen esa contraseña para cifrar la clave", dijo Suchy a Bleeping Computer.

En agosto de 2018, el apasionado de la ciberseguridad italiano Leonardo Porpora descubrió que era posible recuperar los mensajes caducados de la versión 1.14.3 de Signal.

Semrush sigue a tu competencia


Fecha actualización el 2018-10-24. Fecha publicación el 2018-10-24. Categoria: hackers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
hackers