Настольная версия приложения Signal для Mac (и не только) хранит ключи шифрования на ПК в виде обычного текста

Эксперты по ИБ из компании Mysk обнаружили, что настольная версия приложение для обмена зашифрованными сообщениями Signal для Mac хранит ключи шифрования на ПК в виде обычного текста (plaintext), что потенциально подвергает пользователей риску кражи данных в случае компрометации системы.Исследователи выяснили, что настольное приложение Signal хранит ключи шифрования локальной истории чата в текстовом файле, доступном любому процессу в системе. «Сквозное шифрование бесполезно, если какой-либо из ПК пользователей будет скомпрометирован», — отметили эксперты.По мнению Mysk, пользователи Signal на Mac могут испытывать ложное чувство безопасности.Эксперты создали простой скрипт на Python, который копировал каталог локального хранилища Signal на Mac, а затем переносил эти данные в новую установку macOS на виртуальной машине.

Поместив скопированные данные в соответствующий каталог и установив Signal на виртуальную машину, они успешно восстановили весь сеанс Signal, включая историю чатов.

Затем исследователи смогли запустить три активных сеанса Signal одновременно — на исходном Mac, iPhone и виртуальной машине — без какого-либо предупреждения от Signal о клонированном сеансе.Оказалось, что сообщения доставлялись либо на Mac, либо на виртуальную машину, причём все сообщения получал iPhone.