Разработчики Signal залатали серьезный баг со второй попытки
Независимые исследователи обнаружили баг в десктопной версии мессенджера Signal. Уязвимость позволяет внедрить сторонний код в тело входящего сообщения и выполнить его без ведома получателя. Разработчик программы уже исправил ошибку.
Специалисты обнаружили уязвимость в Signal, разбираясь с другой проблемой. ИБ-эксперты обменивались ссылками на сайты с внедренными фрагментами стороннего кода, когда обнаружили, что их полезная нагрузка автоматически воспроизводится в окне мессенджера.
Изучение уязвимости показало, что Signal пропускает инъекции стороннего кода в HTML-тегах <iframe>, <image>, <video> и <audio>. В качестве полезной нагрузки могут выступать как внешние, так и локальные ресурсы — киберпреступники способны использовать в сообщениях файлы, размещенные на устройстве пользователя.
Такая атака не позволяет злоумышленнику напрямую получить доступ к конфиденциальным данным получателя, но открывает широкие возможности для использования социальной инженерии. В частности, мошенник может отправить жертве поддельную форму авторизации, чтобы украсть логины и пароли.
“Главная проблема заключалась в том, что от жертвы не требуется каких-либо действий. Инициировать чат в Signal может каждый, поэтому злоумышленнику нужно лишь отправить специально созданную ссылку, чтобы начать атаку”, — заявил Иван Ариэль Баррера Оро (Iván Ariel Barrera Oro), один из экспертов, обнаруживших проблему.
Под угрозой оказался Signal для Windows, Linux и macOS версий 1.7.1, 1.8.0, 1.9.0 и 1.10.0. Исследователи немедленно сообщили об ошибке разработчикам, и те выпустили пропатченный вариант программы.
Специалисты также выяснили, что защита от XSS-атак в чатах присутствовала в прошлых релизах Signal, однако исчезла из кода программы после 10 апреля.
Проблемы мессенджера на этом не закончились. Спустя пару дней те же эксперты выяснили, что новая версия приложения по-прежнему уязвима. Эксплуатация ошибки стала чуть сложнее — теперь злоумышленник должен отправить два сообщения: одно — содержащее вредоносный код, и другое — включающее его как цитату.
Специалисты продемонстрировали новый PoC-код вендору, после чего Signal получил окончательно исправленную версию 1.11.0. Для того чтобы залатать брешь, разработчикам понадобилось всего несколько часов.
Уязвимость Signal напоминает недавнюю проблему почтового клиента Outlook. Технология обмена данным OLE позволяла выполнить код стороннего сайта в окне предварительного просмотра RTF-документа, приложенного к письму. Microsoft исправила уязвимость в рамках очередного вторника патчей.