Pull to refresh

Signal закрыл баг с рассылкой изображений случайным контактам

Reading time 1 min
Views 1.4K

Мессенджер Signal исправил серьезный баг в своем приложении для Android. Он позволял отправлять изображения случайным людям из списка контактов.

При отправке изображения контакт иногда получал не только выбранный пользователем снимок, но и несколько случайных изображений в дополнение.

На приведенном ниже примере снимка экрана показано, как отправитель (слева) послал GIF-файл, а адресат (справа) получил два дополнительных изображения:

BleedingComputer
BleedingComputer

Хотя о проблеме стало известно еще в декабре 2020 года, исправление вышло только в июле. Android-разработчик Signal Грейсон Паррелли сообщил, что исправление было выпущено в версии 5.17 приложения.

Исследователи безопасности отмечали, что эти изображения могли «переходить» от другого контакта получателя, либо от неизвестной стороны. В итоге некоторые пользователи стали отправлять изображения сначала на собственный рабочий «для себя», а уже затем загружать их для пересылки нужному контакту.

Паррелли заявил, что Signal очень серьезно относится к подобным багам: «Эта ошибка была чрезвычайно редкой, и, поскольку у нас нет метрик журналов, был период, когда нам приходилось тратить время на добавление этих журналов». Выяснилось, что проблема возникла в полях «ID» в таблицах базы данных SQLite. Исправление коммитов добавлено в несколько таблиц. 

Исправления добавили AUTOINCREMENT в поле идентификатора / GitHub
Исправления добавили AUTOINCREMENT в поле идентификатора / GitHub

В декабре прошлого года израильская компания шпионского ПО Cellebrite заявила, что смогла взломать Signal. Однако представители мессенджера опровергли эту информацию.

Tags:
Hubs:
+11
Comments 0
Comments Leave a comment

Other news