История Signal.
Был создан в 2014 году Мокси Марлинспайком и Брайаном Эктоном (соучредитель WhatsApp). Идея создания Signal возникла у Марлинспайка и Майкла Карриера, которые стремились разработать приложение, обеспечивающее безопасное и зашифрованное общение. Signal использует протокол шифрования end-to-end. Был разработан некоммерческим фондом Signal Foundation.
Signal стал популярным после того, как Эдвард Сноуден рекомендовал его в качестве надежного средства для защищенного общения в 2013 году.
Что внутри?
Протокол TextSecure: Signal использует алгоритм Double Ratchet, который применяется двумя сторонами для обмена зашифрованными сообщениями на основе общего секретного ключа. Стороны получают новые ключи для каждого сообщения Double Ratchet таким образом, что более ранние ключи не могут быть вычислены из более поздних. Стороны также посылают открытые значения Диффи-Хеллмана, прикрепленные к их сообщениям. Результаты вычислений Диффи-Хеллмана смешиваются с полученными ключами, так что более поздние ключи не могут быть вычислены из более ранних.
О проблемах.
С помощью анализатора UFED (Universal Forensics Extraction Device) можно получить даже номера телефонов и фотографии контактов Signal - . В январе 2023 года были исследованы две уязвимости в десктопном клиенте мессенджера — CVE-2023-24068(Эта уязвимость позволяла злоумышленнику изменять или заменять вложения разговора в каталоге) и CVE-2023-24069(Windows/Mac). Все перечисленные способы применяются только ЛОКАЛЬНО.
Также были обнаружены проблемы с функцией "Исчезающие сообщения" для Android 4.24.8, в теории они могли был заполучить и восстановить. Другие уязвимости типа CVE-2022-28345, которая представляет собой уязвимость внедрения RTLO(Эта уязвимость позволила злоумышленнику подделать внешний вид URL-адреса), и CVE-2020-5753 (произвольно удаленно выполнять код на устройстве жертвы без какого-либо взаимодействия с пользователем.)
В 2019 году Signal был мишенью компании FinFisher которая продавала своё ПО для правительств. Уязвимость заключалась в том, как Signal обрабатывал вложения файлов. - ,
В 2021 году выяснилось что у ФБР есть инструмент для доступа к частным сообщениям Signal "зашифрованные сообщения могут быть перехвачены программным элементом с устройств iPhone в режиме «частичной AFU (после первой разблокировки)»" - локальная уязвимость ( )
После утечки ФБР стало известно, что выдаёт Signal
В Twitter была новость, что из-за проблем с правоохранительными органами, Signal нашёл компромисс и начал собирать IP-адреса отправителей, в сочетании с идентификаторами получателей и временем сообщения
Signal использует Amazon Web Services для хостинга и заявляет, что все еще работает над поиском жизнеспособного способа шифрования IP-адресов и других метаданных, которые теоретически могли бы позволить злоумышленнику выполнять определенные типы анализа пользовательского трафика.
Политика конфиденциальности.
По разным утверждением есть теория что Signal был спонсирован ЦРУ, точнее их дочерней компанией "Radio Free Asia" и составило не менее 3 миллионов долларов за четыре года с 2013 по 2016 год, также Signal получал финансирование от фонда американского правительства Open Technology Fund, что подтверждает Мокси Марлинспайк, один из создателей приложения в 2023 прекратилось финансирование. Слова Мокси:
Сигнал всячески пытается исправлять ошибки и уязвимости, но вероятно, существуют и другие уязвимости, которые еще не обнаружены.
Был создан в 2014 году Мокси Марлинспайком и Брайаном Эктоном (соучредитель WhatsApp). Идея создания Signal возникла у Марлинспайка и Майкла Карриера, которые стремились разработать приложение, обеспечивающее безопасное и зашифрованное общение. Signal использует протокол шифрования end-to-end. Был разработан некоммерческим фондом Signal Foundation.
Signal стал популярным после того, как Эдвард Сноуден рекомендовал его в качестве надежного средства для защищенного общения в 2013 году.
Что внутри?
Протокол TextSecure: Signal использует алгоритм Double Ratchet, который применяется двумя сторонами для обмена зашифрованными сообщениями на основе общего секретного ключа. Стороны получают новые ключи для каждого сообщения Double Ratchet таким образом, что более ранние ключи не могут быть вычислены из более поздних. Стороны также посылают открытые значения Диффи-Хеллмана, прикрепленные к их сообщениям. Результаты вычислений Диффи-Хеллмана смешиваются с полученными ключами, так что более поздние ключи не могут быть вычислены из более ранних.
О проблемах.
С помощью анализатора UFED (Universal Forensics Extraction Device) можно получить даже номера телефонов и фотографии контактов Signal - . В январе 2023 года были исследованы две уязвимости в десктопном клиенте мессенджера — CVE-2023-24068(Эта уязвимость позволяла злоумышленнику изменять или заменять вложения разговора в каталоге) и CVE-2023-24069(Windows/Mac). Все перечисленные способы применяются только ЛОКАЛЬНО.
Также были обнаружены проблемы с функцией "Исчезающие сообщения" для Android 4.24.8, в теории они могли был заполучить и восстановить. Другие уязвимости типа CVE-2022-28345, которая представляет собой уязвимость внедрения RTLO(Эта уязвимость позволила злоумышленнику подделать внешний вид URL-адреса), и CVE-2020-5753 (произвольно удаленно выполнять код на устройстве жертвы без какого-либо взаимодействия с пользователем.)
В 2019 году Signal был мишенью компании FinFisher которая продавала своё ПО для правительств. Уязвимость заключалась в том, как Signal обрабатывал вложения файлов. - ,
В 2021 году выяснилось что у ФБР есть инструмент для доступа к частным сообщениям Signal "зашифрованные сообщения могут быть перехвачены программным элементом с устройств iPhone в режиме «частичной AFU (после первой разблокировки)»" - локальная уязвимость ( )
После утечки ФБР стало известно, что выдаёт Signal
В Twitter была новость, что из-за проблем с правоохранительными органами, Signal нашёл компромисс и начал собирать IP-адреса отправителей, в сочетании с идентификаторами получателей и временем сообщения
Signal использует Amazon Web Services для хостинга и заявляет, что все еще работает над поиском жизнеспособного способа шифрования IP-адресов и других метаданных, которые теоретически могли бы позволить злоумышленнику выполнять определенные типы анализа пользовательского трафика.
Политика конфиденциальности.
- Третьи лица. Мы сотрудничаем с третьими лицами для предоставления некоторых наших Услуг. Например, наши сторонние поставщики отправляют код подтверждения на ваш номер телефона, когда вы регистрируетесь для получения наших Услуг. А также с передачей вашей зашифрованной информации и метаданных в США и другие страны, где у нас есть или мы используем объекты, поставщиков услуг или партнеров. Примерами могут служить сторонние поставщики, отправляющие вам код подтверждения и обрабатывающие ваши заявки в службу поддержки."
- "Signal также оставляет за собой право передавать ваши данные соответствующим юридическим органам по официальному запросу."
По разным утверждением есть теория что Signal был спонсирован ЦРУ, точнее их дочерней компанией "Radio Free Asia" и составило не менее 3 миллионов долларов за четыре года с 2013 по 2016 год, также Signal получал финансирование от фонда американского правительства Open Technology Fund, что подтверждает Мокси Марлинспайк, один из создателей приложения в 2023 прекратилось финансирование. Слова Мокси:
Сигнал всячески пытается исправлять ошибки и уязвимости, но вероятно, существуют и другие уязвимости, которые еще не обнаружены.
