Signal закрыл баг с рассылкой изображений случайным контактам

Информационная безопасность Мессенджеры Криптография Разработка под Android Обработка изображений
Мессенджер Signal исправил серьезный баг в своем приложении для Android. Он позволял отправлять изображения случайным людям из списка контактов. При отправке изображения контакт иногда получал не только выбранный пользователем снимок, но и несколько случайных изображений в дополнение. На приведенном ниже примере снимка экрана показано, как отправитель (слева) послал GIF-файл, а адресат (справа) получил два дополнительных изображения: BleedingComputer Хотя о проблеме стало известно еще в декабре 2020 года, исправление вышло только в июле. Android-разработчик Signal Грейсон Паррелли сообщил, что исправление было выпущено в версии 5.17 приложения. Исследователи безопасности отмечали , что эти изображения могли «переходить» от другого контакта получателя, либо от неизвестной стороны. В итоге некоторые пользователи стали отправлять изображения сначала на собственный рабочий «для себя», а уже затем загружать их для пересылки нужному контакту. Паррелли заявил, что Signal очень серьезно относится к подобным багам: «Эта ошибка была чрезвычайно редкой, и, поскольку у нас нет метрик журналов, был период, когда нам приходилось тратить время на добавление этих журналов». Выяснилось, что проблема возникла в полях «ID» в таблицах базы данных SQLite. Исправление коммитов добавлено в несколько таблиц.  Исправления добавили AUTOINCREMENT в поле идентификатора / GitHub В декабре прошлого года израильская компания шпионского ПО Cellebrite заявила , что смогла взломать Signal. Однако представители мессенджера опровергли эту информацию.)
Теги:
Хабы: