Хотя разработчики Signal позиционируют мессенджер как средство для безопасной коммуникации, приложение не обеспечивает должную защиту при обновлении с расширения для Chrome на декстопную версию, экспортируя сообщения пользователей в виде незашифрованных файлов.

В процессе апгрейда пользователю требуется указать локацию, куда будут сохраняться данные сообщений (текст и вложения), для автоматического импорта информации в новую версию. Однако, по словам эксперта по безопасности Мэтта Суиша (Matt Suiche), обратившего внимание на проблему, приложение сохраняет данные в незашифрованном виде.

Главная директория содержит отдельные папки для каждого контакта в Signal, которые названы по имени контакта и номеру телефона. В папках также хранятся файлы JSON, содержащие диалоги. Таким образом, просто открыв директорию, можно получить доступ к ценной информации. Более того, данные сохраняются на диске даже после завершения процесса апгрейда. Пользователям потребуется вручную удалить папки для снижения риска утечки конфиденциальной информации.

Весной нынешнего года в различных версиях мессенджера были обнаружены сразу несколько уязвимостей, предоставляющих возможность обойти аутентификацию или внедрить код.

Источник: securitylab.ru