新闻快讯
< >

明文存储的Signal Desktop 应用程序消息解密密钥

逆向工程研究员纳撒尼尔·苏西(Nathaniel Suchy)发现,SignalDesktop应用程序明文储存消息解密密钥,将密钥暴露于黑客攻击之下。

信号桌面应用程序将消息解密密钥以明文方式存储,有可能暴露给攻击者。该问题由逆向工程研究员纳撒尼尔·苏西(Nathaniel Suchy)发现。 

该漏洞可影响Signal Desktop应用程序加密本地存储消息进程 

Signal Desktop应用程序利用被称为“db.sqlite”的加密SQLite数据库储存用户信息。该加密数据库的加密密钥由该应用在安装过程产生 

该密钥以明文形式储存在Windows PCs本地文件“ %AppData%\ Signal\ config.json”,以及Mac本地文件“~/ Library/ Application Support/ Signal/ config.json”中。 

Signal Desktop应用程序每次访问该数据库都需使用该加密密钥。

明文存储的Signal Desktop 应用程序消息解密密钥-E安全

Signal Desktop密钥        

据Bleeping Computer在博客上发布的一条帖子可知:“为说明该问题,BleepingComputer安装了SignalDesktop应用程序,并发送了一些测试消息。如上图所示,首先,我们打开‘config.json’文件获取加密密钥”。 

 “接下来,我们利用SQLite数据库浏览器程序打开位于 ‘%AppData%\ Roaming\ Signal\ sql\ db.sqlite’ 的数据库”。 

输入密码后,Bleeping Computer专家们便可读取该数据库内容。 

修复该漏洞并不难,用户只需设置一个用于加密该数据库加密密钥的密码即可 

 “用户只需设置一个加密该密钥的密码,便可轻松缓解该漏洞”。苏西如是告诉Bleeping Computer。 

2018年8月,意大利网络安全狂热者莱昂纳多·波波拉(LeonardoPorpora)发现,成功恢复Signal版本1.12.3中过期消息并非不可能


E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号j871798128②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站户网站户网站www.easyaq.com , 查 , 查 , 查看更多精彩内容。