В блоге эксперта по кибербезопасности Джона Джексона появилось исследование двух уязвимостей в десктопном клиенте мессенджера Signal — CVE-2023-24068 и CVE-2023-24069. Эксперт приходит к выводу, что эксплуатация этих уязвимостей может быть использована для шпионажа. Поскольку у десктопных приложений Signal под все операционные системы общая кодовая база, уязвимость присутствует не только в клиенте под Windows, но и под MacOS и Linux. Уязвимы все версии вплоть до 6.2.0. Давайте рассмотрим, насколько эта угроза реальна.
Что за уязвимости CVE-2023-24068 и CVE-2023-24069
Суть первой уязвимости, CVE-2023-24069, заключается в непродуманном механизме работы с файлами. Если отправить в чат файл, десктопный клиент сохраняет его в локальной директории. Когда файл удаляют, то из директории он исчезает… если, конечно, на него никто не ответил или не переслал его в другой чат. Причем несмотря на то, что в целом Signal позиционируется как безопасный мессенджер и все сообщения в нем шифруются, сохраняются файлы в незащищенном виде.
Уязвимость CVE-2023-24068 была найдена в процессе дальнейших манипуляций с клиентом. Оказывается, отсутствие механизма валидации файлов в клиенте позволяет подменять их после отправки. То есть если на десктопном клиенте был открыт пересланный файл, то злоумышленник может подменить его в локальной папке на посторонний. И при дальнейших пересылках ничего не подозревающий пользователь будет распространять совершенно не тот файл, который хотел отправить.
Чем могут быть опасны уязвимости CVE-2023-24068 и CVE-2023-24069
Риски, связанные с CVE-2023-24069, достаточно понятны. Если пользователь десктопной версии Signal не залочил операционную систему, отходя от машины, или оставил выключенный компьютер без присмотра (и при этом не использует полнодисковое шифрование), посторонний может получить доступ к файлам, отправленным через Signal.
Эксплуатация второй уязвимости требует более хитроумного сценария. Допустим, некий человек часто получает и отправляет файлы через десктопное приложение Signal (например, менеджер, рассылающий подчиненным задания). Тогда злоумышленник, имеющий доступ к его компьютеру, может подменить один из файлов или, для большей незаметности, модифицировать его, например вставив в документ вредоносный скрипт. И при дальнейших пересылках того же файла владелец клиента будет распространять зловреда по своим контактам.
Да, для эксплуатации обеих уязвимостей злоумышленник должен уже иметь доступ к компьютеру жертвы. Но это вполне реальные сценарии — тут речь не обязательно идет о физическом доступе, достаточно, чтобы компьютер был заражен зловредом, через который посторонний может манипулировать файлами.
Как оставаться в безопасности?
По информации CVE Program, разработчики Signal пока оспаривают важность этих уязвимостей. Они утверждают, что их продукт не должен и не может защищать данные пользователей от злоумышленников с таким уровнем доступа к системе. Поэтому по-хорошему, лучший совет — не использовать десктопную версию Signal (да и вообще мессенджеров). Но уж если вам это необходимо в каких-то рабочих процессах, то мы рекомендуем:
- обучить ваших сотрудников не оставлять незалоченный компьютер без присмотра;
- использовать полнодисковое шифрование на рабочих устройствах;
- применять защитные решения, которые позволят выявлять зловреды и останавливать попытки несанкционированного доступа к вашему компьютеру.