محققان امنیتی یک آسیبپذیری حیاتی را در پیامرسان سیگنال کشف کردند. گفته میشد این پیامرسان از امنیت بالایی برخوردار بوده و پیامها را بهصورت انتها به انتها رمزنگاری میکند. این آسیبپذیری نرمافزارهای رومیزی در ویندوز و لینوکس را تحت تاثیر قرار داده و مهاجم میتواند تنها با ارسال یک پیام و بدون نیاز به هیچگونه تعاملی با کاربر، کدهای مخرب خود را اجرایی کند.
این آسیبپذیری بر روی توییتر اعلام شد و چند ساعت بعد نیز یک ویدئوی اثبات مفهومی برای آن منتشر شد که نشان میداد چگونه یک بار دادهی جاوا اسکریپت که با سیگنال ارسال شده، بر روی سیستم آسیبپذیر اجرا میشود. هرچند هنوز اطلاعات فنی در مورد این آسیبپذیری منتشر نشده ولی به نظر میرسد نوعی آسیبپذیری اجرای کد از راه دور و یا XSS مانا باشد که به مهاجم اجازه میدهد تا کدهای مخرب خود را بر روی سیستمهای ویندوز و لینوکس اجرا کند.
محقق امنیتی که این آسیبپذیری را کشف کرده، تایید کرده که برای بهرهبرداری به زنجیرهای از آسیبپذیریها نیاز است و در این روند از ۲ آسیبپذیری دیگری که همکاران او شناسایی کردهاند بهرهبرداری شده است. هنوز بهطور قطعی مشخص نیست که این آسیبپذیری اصلی و اشکالات فرعی در کد منبع پیامرسان سیگنال وجود دارد و یا اینکه در چارچوب توسعهی برنامههای وب الکترون اشکالاتی وجود دارد. چارچوب الکترون فناوری است که نسخهی دسکتاپ سیگنال مبتنی بر آن است.
اگر این آسیبپذیری در چارچوب الکترون باشد، سایر برنامههایی که مبتنی بر این فناوری هستند مانند اسکایپ، وردپرس و اسلک نیز تحت تاثیر این آسیبپذیریها قرار گرفتهاند. انجمن امنیتی از این مسأله نگران است که این بهرهبرداری منجر به سقت کلیدهای رمزنگاری کاربران پیامرسان سیگنال شود و این موضوع میتواند به کابوس بزرگی تبدیل شود.
خبر اخوب این است که پس از گزارش مسئولانهی این آسیبپذیری توسط محقق امنیتی، این اشکال برطرف شده و نسخهی جدیدی از پیامرسان سیگنال منتشر شده است. آسیبپذیری اصلی در نسخهی پایدار ۱٫۱۰٫۱ و نسخهی بتای ۱٫۱۱٫۰-beta.3 وصله شده است. بنابراین به کاربران سیگنال رومیزی توصیه میشود تا هرچه سریعتر برنامههای خود را بهروزرسانی کنند.