В десктопной версии мессенджера Signal 6.2.0 и более ранних версиях для Windows, macOS и Linux нашли уязвимости CVE-2023—24068 и CVE-2023—24069. Они позволяют злоумышленникам получать доступ к конфиденциальным вложениям из диалогов, а также подменять их, пишет исследователь Джон Джексон.
Суть уязвимостей в том, что десктопная версия Signal хранит вложения в каталоге ~\attachments.noindex без шифрования. Обычно данные удаляются из этого каталога автоматически после того, как пользователь удаляет их из чата вручную. Однако в случае, если на сообщение с вложением собеседник дал ответ с цитированием, то вложение продолжает храниться в локальной папке в открытом виде. При этом удаление в интерфейсе мессенджера никак на это не влияет.
Джексон пояснил, что злоумышленнику даже не придётся расшифровывать эти данные после получения к ним доступа. Кроме того, в приложении нет регулярного процесса очистки кэша, поэтому файлы попросту хранятся в этом каталоге.
Более того, существует возможность подменить хранящийся в кэше файл. У собеседников он не заменится автоматически, поскольку десктопный Signal имеет свой локальный кэш, но, если пользователь перешлёт соответствующие сообщения в другие чаты, в них окажутся именно подменённые файлы. Джексон делает вывод, что Signal не проверяет изменения в ранее кэшированных файлах.
Джексон проверил наличие уязвимостей в трёх версиях Signal — для Windows, macOS и Linux — и ему удалось провести манипуляции с подменой и симуляцией кражи данных во всех них. Он предполагает, что уязвимостями могут воспользоваться злоумышленники, имеющие прямой доступ к ПК пользователя, а также люди, которые имеют возможность скопировать данные с жёсткого диска жертвы.
