Подробности
Недавно запущенный мессенджер XChat от социальной сети X подвергся критике со стороны экспертов по безопасности. Специалисты из группы Mysk проанализировали систему защиты приложения и пришли к выводу о ненадежности заявленного сквозного шифрования. Слабое место в архитектуре JuiceboxРазработчики XChat используют протокол Juicebox для защиты приватных ключей. Указанный алгоритм разделяет ключ на фрагменты и распределяет их по независимым серверам.
Для доступа к переписке пользователю требуется задать 4-значный пин-код. Предполагается, что любой отдельный сервер не может самостоятельно собрать данные воедино. Однако специалисты выяснили слабое место подобной архитектуры.
Анализ сетевого трафика показал, что абсолютно все серверы контролируются самой компанией X. В опубликованном отчете наглядно видно обращение мобильного клиента к трем доменам x. com с использованием одного общего сертификата безопасности. Проблему усугубляет отсутствие жесткой привязки сертификата в коде программы.
Это позволяет перехватывать и расшифровывать информацию. По мнению экспертов, сами разработчики имеют техническую возможность восстановить ключи и получить доступ к личным текстам пользователей. Официальные лица пока не предоставили комментариев по данной проблеме, а возмущение профильного сообщества продолжает расти.
Комментарии
Оставляйте комментарии, отвечайте другим пользователям и добавляйте быстрые реакции.