Мессенджер Signal исправил серьезный баг в своем приложении для Android. Он позволял отправлять изображения случайным людям из списка контактов.
При отправке изображения контакт иногда получал не только выбранный пользователем снимок, но и несколько случайных изображений в дополнение.
На приведенном ниже примере снимка экрана показано, как отправитель (слева) послал GIF-файл, а адресат (справа) получил два дополнительных изображения:
Хотя о проблеме стало известно еще в декабре 2020 года, исправление вышло только в июле. Android-разработчик Signal Грейсон Паррелли сообщил, что исправление было выпущено в версии 5.17 приложения.
Исследователи безопасности отмечали, что эти изображения могли «переходить» от другого контакта получателя, либо от неизвестной стороны. В итоге некоторые пользователи стали отправлять изображения сначала на собственный рабочий «для себя», а уже затем загружать их для пересылки нужному контакту.
Паррелли заявил, что Signal очень серьезно относится к подобным багам: «Эта ошибка была чрезвычайно редкой, и, поскольку у нас нет метрик журналов, был период, когда нам приходилось тратить время на добавление этих журналов». Выяснилось, что проблема возникла в полях «ID» в таблицах базы данных SQLite. Исправление коммитов добавлено в несколько таблиц.
В декабре прошлого года израильская компания шпионского ПО Cellebrite заявила, что смогла взломать Signal. Однако представители мессенджера опровергли эту информацию.