ИБ-исследовать Джон Джексон обнаружил в десктопной версии мессенджера Signal уязвимость, благодаря которой злоумышленники могут получить доступ к входящим вложениям. Об этом он сообщил на своем портале John J Hacking.
Отмечается, что ПК-версии Signal 6.2.0 и более ранние выпуски для Windows, Linux и macOS подвержены уязвимостям CVE-2023–24068 и CVE-2023–24069, благодаря которым потенциальные злоумышленники могут получить доступ к конфиденциальным вложениям, отправленным в сообщениях, а также подменить их.
Оказалось, что мошенники могут видеть вложения потому, что они хранятся в памяти устройства в незашифрованном виде. Отмечается, что файлы автоматически удаляются в случае, если пользователь удаляет их из переписки, однако, если пользователь отвечает на сообщение с вложением цитированием, документ остается в памяти компьютера даже после удаления из чата.
Также, как отмечает Джексон, злоумышленник при желании может заменить хранящийся в кэше файл, который будет виден другим пользователям после пересылки вложения в другой чат.
На данный момент Signal 6.2.0 является актуальной версией мессенджера.
Ранее "Газета.Ru" рассказывала, что хакеры научились забирать виртуальные доллары игроков в GTA Online.
Свежие комментарии