ذخیره‌سازی کلیدِ رمزگشایی پیام‌ها در پیام‌رسان رومیزی سیگنال به صورت متنِ ساده

 

یک محقق امنیتی کشف کرده است در نسخه‌ی رومیزی پیام‌رسان سیگنال، کلیدهای رمزگشایی پیام‌ها به‌صورت متن ساده و رمزنگاری‌نشده ذخیره می‌شود که این مسأله می‌تواند آن‌ها را در اختیار نفوذگران قرار دهد. این آسیب‌پذیری پردازه‌ای را در سیگنال رومیزی تحت تاثیر قرار داده که پیام‌های ذخیره‌شده به صورت محلی را رمزنگاری می‌کند. پیام‌رسان رومیزی سیگنال از یک پایگاه داده‌ی رمزنگاری‌شده SQLite  با نام db.sqlite برای ذخیره‌سازی پیام‌های کاربران استفاده می‌کند. کلیدهایی که برای رمزنگاری این پایگاه داده استفاده می‌شود، در طول فرآیند نصب برنامه ایجاد شده‌اند. 


بر روی ماشین‌های ویندوز، این کلید رمزنگاری به صورت متن ساده در فایل %AppData%\Signal\config.json ذخیره می‌شود. در ماشین‌های مک نیز مسیر ذخیره‌سازی ~/Library/Application Support/Signal/config.json است. این کلید رمزنگاری هربار که برنامه‌ی سیگنال رومیزی می‌خواهد به پایگاه داده دسترسی داشته باشد، مورد استفاده قرار می‌گیرد. این آسیب‌پذیری به سادگی قابل برطرف کردن است. کافی است از کاربر پسوردی درخواست شده و از آن برای رمزنگاری کلید استفاده شود. در ماه آگوست سال ۲۰۱۸ میلادی یک محقق امنیتی کشف کرد که در نسخه‌ی ۱٫۱۴٫۳ این پیام‌رسان می‌توان پیام‌های منقضی‌شده را بازیابی کرد.
                                               

 

منبع

پست‌های مشابه

Leave a Comment