Comments 14
В заголовке «взломали», хотя просто сделали реверс open source проекта, даже сама компания так написала
В прошлый четверг компания объявила, что этот анализатор был обновлен функцией, которая позволяет клиентам декодировать данные из Signal.
Опять учёный изнасиловал журналиста.
При полном физическом доступе к устройству такой исход — неудивителен. Это фундаментальная проблема, а не уязвимость.
Если бы вся эта байда шифровалась паролем, водимым пользователем, а не хранящимся в памяти, такой проблемы бы не было.
Но да, тут мы на оси «удобство <---> безопасность» смещаемся сильно вправо. Удобный вход «пальцем» работать не будет, придётся каждый раз вводить пароль.
Но да, тут мы на оси «удобство <---> безопасность» смещаемся сильно вправо. Удобный вход «пальцем» работать не будет, придётся каждый раз вводить пароль.
Если бы вся эта байда шифровалась паролем, водимым пользователем, а не хранящимся в памяти, такой проблемы бы не было.Да, можно было бы, я бы даже не отказал от такого режима. Но в таком случае слабым место был бы пользователь. Давайте не забывать о том, что мы рассматриваем ситуацию, в которой скорее всего физически доступ имеется не только к телефону, но и к пользователю…
Тем не менее, предположим, что всё шифруется ключом, сгенерированным от пароля пользователя. Сомневаюсь, что многие стали бы каждый раз вводить длинный надёжный пароль, это действительно неудобно. В таком случае, вне зависимости от того как вы генерируете ключ (key derivation) из пароля пользователя, пространство перебора будет ограничено длинной самого пароля. Перебор этот к тому же, очень даже хорошо параллелится.
Удобный вход «пальцем» работать не будет, придётся каждый раз вводить пароль.По-моему палец хуже слабого пароля.
Все давно придумано до нас. Оставляем удобный вход пальцем и закидываем в кейстор сложный пароль, но для шифрования базы используем пароль из кейстора который пользователь не видит+пароль который вводит пользователь. В таком случае остается удобный вход пальцем, но секретные чатики недоступны. Чтобы туда попасть нужно еще тот ключ за 5$ из известного XKCD комикса. Что сильно усложняет задачу взломщика.
Если на сигнал обратили внимание, значит популярность его выросла заметно и он стал интересен. Интересно также, какой мессенджер будет следующим?
Жаль все-таки, что открытой экосистемы для смартфонов нет.
EDIT: Андроиды не считаются.
EDIT: Андроиды не считаются.
Почему не считаются? Есть полностью свободный Replicant, но список устройств небольшой, они устаревшие и вроде бы wifi не работает нигде (могу ошибаться).
Ещё есть PINEPHONE, смартфон на линуксе с хардварными свичами и вроде бы открытой спецификацией.
Если есть доступ к телефону то зачем что-то взламывать? Можно ведь просто из приложения все прочитать.
Sign up to leave a comment.
Израильский производитель шпионского ПО заявил, что смог взломать мессенджер Signal