В популярном и защищенном мессенджере Signal обнаружена опасная уязвимость

ИБ-исследовать Джон Джексон обнаружил в десктопной версии мессенджера Signal уязвимость, благодаря которой злоумышленники могут получить доступ к входящим вложениям. Об этом он сообщил на своем портале John J Hacking.

Отмечается, что ПК-версии Signal 6.2.0 и более ранние выпуски для Windows, Linux и macOS подвержены уязвимостям CVE-2023–24068 и CVE-2023–24069, благодаря которым потенциальные злоумышленники могут получить доступ к конфиденциальным вложениям, отправленным в сообщениях, а также подменить их.

Оказалось, что мошенники могут видеть вложения потому, что они хранятся в памяти устройства в незашифрованном виде. Отмечается, что файлы автоматически удаляются в случае, если пользователь удаляет их из переписки, однако, если пользователь отвечает на сообщение с вложением цитированием, документ остается в памяти компьютера даже после удаления из чата.

Также, как отмечает Джексон, злоумышленник при желании может заменить хранящийся в кэше файл, который будет виден другим пользователям после пересылки вложения в другой чат.

На данный момент Signal 6.2.0 является актуальной версией мессенджера.