Een beveiligingslek in de desktopapplicatie van de versleutelde chat-app Signal had aanvallers op afstand code kunnen laten uitvoeren, waardoor gevoelige data kon worden gestolen. Alleen het versturen van een speciaal geprepareerd bericht naar een Signal Desktop-gebruiker was voldoende geweest.
Signal is een chat-app waarmee smartphone-gebruikers end-to-end versleuteld kunnen communiceren. Naast de Signal-app voor smartphones is er Signal Desktop, een applicatie die gebruikers Signal-berichten via hun laptop of desktop laat ontvangen. Alle berichten worden vervolgen gesynchroniseerd met de Signal-app op de smartphone.
Beveiligingsonderzoekers Ivan Ariel Barrera Oro, Alfredo Ortega en Juliano Rizzo ontdekten het probleem bij toeval toen ze een link met cross-site scripting (XSS) op een andere website via Signal Desktop uitwisselden. De desktopapplicatie bleek niet goed met de link om te gaan. Content Security Policy (CSP) zorgde er echter voor dat de scripts die via de kwaadaardige link werden aangeroepen niet werkten. Door de url binnen een iframe te verwerken was het echter wel mogelijk om dit te doen, zelfs het laden van code vanaf een SMB-share werkte.
"Het belangrijke is dat het geen interactie van het slachtoffer vereist, anders dan een gesprek te starten. Iedereen kan binnen Signal een gesprek starten, dus een aanvaller hoefde alleen een speciaal geprepareerde url te versturen om zonder verdere interactie het slachtoffer te hacken. En het is platformonafhankelijk", aldus de onderzoekers. Signal werd op 10 mei over de kwetsbaarheid ingelicht en een dag later was er een update beschikbaar. Gisteren maakten de onderzoekers details over het lek bekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.