В Signal Desktop обнаружили уязвимость, позволяющую получить доступ к кэшу удалённых вложений

Десктопная версия Signal 6.2.0 и более ранние версии для Windows, Linux и macOS подвержены уязвимостям CVE-2023–24068 и CVE-2023–24069.

Они потенциально могут позволить злоумышленнику получить конфиденциальные вложения, отправленные в сообщениях, а также подменить их.

Дело в том, что Signal Desktop хранит вложения в каталоге ~\attachments.noindex в незашифрованном виде. Они автоматически удаляются из этого каталога, если пользователь удаляет их из чата. Однако, если на сообщение с вложением был дан ответ собеседника (с цитированием), то вложение продолжает храниться в локальной папке в открытом виде даже после удаления в интерфейсе мессенджера:

Злоумышленнику, который может получить доступ к этим файлам, даже не нужно будет расшифровывать их, и нет регулярного процесса очистки кэша, поэтому неудалённые файлы просто находятся в незашифрованном виде в этой папке, — отметил исследователь Джон Джексон.

Более того, злоумышленник может подменить хранящийся в кэше файл. С одной стороны, он не заменится автоматически у собеседников, так как каждый клиент Signal Desktop имеет свой локальный кэш.

Однако, если объект потенциального взлома после подмены перешлёт существующую ветку в другие чаты, то в ней окажутся именно подменённые файлы, а не исходные. Исходя из этого, исследователи делают вывод, что Signal Desktop не проверяет изменения в кэшированных ранее файлах.