Обложка канала

ЗаТелеком

28721 @zatelecom

#ЗаТелеком - это частный канальчик "Скитальца по сетям". Тут только про телеком - что было, что будет и чем сердце успокоится. Новости, инсайты и инсайды.

ЗаТелеком

3 года назад
Открыть в
Сигнал - самый бизапасный мессенджер, говорили они johnjhacking.com/blog/cv…23-24069 Там чувак играется с десктопным клиентом и обнаруживает, что "сохраненные в кеш" файлы легко доступны пользователем. И даже подменяются. Ну, то есть, если у вас в чатике кто-то отправил вам файл, то этот файл на десктопе в соответствующей папочке можно заменить на другой. А потом, если вы будете делать форвард этого файла, то отправится не оригинал, а подменка. Понятно, что ну так себе уязвимость класса "если бы у меня был доступ к твоему устройству, то ужо бы я всё сломал", но всё равно как-то стыдновато называться "самым ниибацо безопасным мессенджером". Ну, и иметь клиента с возможностью тостера и объемом дистрибутива четверть гигабайта - это ж чего там в коде-то наворочено? А развернутый Sigal под маком занимает почти гигабайт. Для сравнения - Телеграм вчетверо компактнее с на порядок лучшим функционалом. И да, я все ещё ненавижу этот ваш Сигнал и стремлюсь его уничтожить :)
CVE-2023-24068 && CVE-2023-24069: Abusing Signal Desktop Client for fun and for Espionage

A flaw in how files are stored in Signal Desktop before 6.2.0 allows a threat actor to potentially obtain sensitive attachments sent in messages. Subsequently, a similar issue with Signal Desktop before 6.2.0 exists, allowing an an attacker to modify conversation attachments within the same directory. Client mechanisms fail to validate modifications of existing cached files, resulting in the ability to implement malicious code or overwrite pre-existing files and masquerade as pre-existing files. Local access is needed.

Johnjhacking