Настольная версия приложения Signal для Mac (и не только) хранит ключи шифрования на ПК в виде обычного текста

Эксперты по ИБ из компании Mysk обнаружили, что настольная версия приложение для обмена зашифрованными сообщениями Signal для Mac хранит ключи шифрования на ПК в виде обычного текста (plaintext), что потенциально подвергает пользователей риску кражи данных в случае компрометации системы.

Исследователи выяснили, что настольное приложение Signal хранит ключи шифрования локальной истории чата в текстовом файле, доступном любому процессу в системе. «Сквозное шифрование бесполезно, если какой-либо из ПК пользователей будет скомпрометирован», — отметили эксперты.

По мнению Mysk, пользователи Signal на Mac могут испытывать ложное чувство безопасности.

Эксперты создали простой скрипт на Python, который копировал каталог локального хранилища Signal на Mac, а затем переносил эти данные в новую установку macOS на виртуальной машине. Поместив скопированные данные в соответствующий каталог и установив Signal на виртуальную машину, они успешно восстановили весь сеанс Signal, включая историю чатов. Затем исследователи смогли запустить три активных сеанса Signal одновременно — на исходном Mac, iPhone и виртуальной машине — без какого-либо предупреждения от Signal о клонированном сеансе.

Оказалось, что сообщения доставлялись либо на Mac, либо на виртуальную машину, причём все сообщения получал iPhone. Важно отметить, что iPhone по-прежнему показывал только одно связанное устройство, не обнаруживая несанкционированного клонированного сеанса на виртуальной машине.

Возможность передавать историю чатов подобным образом доступна не только в macOS. Пользователь соцсети под ником ILL Eagle пояснил, что ключам шифрования в файле конфигурации Signal в Linux установлены разрешения, которые делают их доступными для чтения любым процессом, запускаемым