麻豆国内精品欧美在线-麻豆国内精品久久久久久-麻豆国产在线观看一区二区-麻豆国产在线观看免费-麻豆国产原创-麻豆国产一区二区在线观看

區(qū)塊鏈安全咨詢公司 曲速未來(lái) 表示：Signal Desktop應(yīng)用程序用于加密本地存儲(chǔ)的消息的過(guò)程中的錯(cuò)誤使它們對(duì)攻擊者敞開大門。

安裝Signal Desktop后，它將創(chuàng)建一個(gè)名為db.sqlite的加密SQLite數(shù)據(jù)庫(kù)，用于存儲(chǔ)用戶的消息。程序在安裝時(shí)自動(dòng)生成此數(shù)據(jù)庫(kù)的加密密鑰，而無(wú)需用戶進(jìn)行任何交互。

圖2.在記事本中打開加密數(shù)據(jù)庫(kù)

由于每次Signal Desktop打開數(shù)據(jù)庫(kù)時(shí)都需要加密密鑰，因此它將以純文本形式存儲(chǔ)到PC上和Mac上的名為％AppData％\Signal\config.json的本地文件中?/Library/Application Support/信號(hào)/config.json。

當(dāng)打開config.json文件時(shí)，任何想要它的人都可以使用解密密鑰。

圖3.帶有解密密鑰的Config.json文件

根據(jù)在Signal Desktop中發(fā)現(xiàn)問(wèn)題的Nathaniel Suchy所說(shuō)，這使得用戶的數(shù)據(jù)庫(kù)對(duì)任何可以訪問(wèn)計(jì)算機(jī)的攻擊者或惡意軟件都是開放的。

為了說(shuō)明這個(gè)問(wèn)題，研究人員安裝了Signal Desktop應(yīng)用程序并發(fā)送了一些測(cè)試消息。首先，打開config.json文件以檢索加密密鑰。

然后，使用名為SQLite Database Browser的程序打開位于％AppData％\ Roaming \ Signal \ sql \ db.sqlite的數(shù)據(jù)庫(kù)。然后，程序會(huì)提示輸入解密密鑰。

當(dāng)研究人員從config.json文件輸入解密密鑰時(shí)，數(shù)據(jù)庫(kù)被打開，就可以完全訪問(wèn)其內(nèi)容。

加密數(shù)據(jù)庫(kù)是保護(hù)用戶個(gè)人消息的好方法，但是當(dāng)任何人都可以輕松訪問(wèn)密鑰時(shí)，它會(huì)崩潰。據(jù)說(shuō)，這個(gè)問(wèn)題可以通過(guò)要求用戶輸入密碼來(lái)輕松解決，該密碼將用于生成永遠(yuǎn)不會(huì)存儲(chǔ)在本地的加密密鑰。

“通過(guò)要求用戶設(shè)置密碼并使用該密碼加密密鑰，可以輕松減輕這種情況”。研究人員說(shuō)。

區(qū)塊鏈安全咨詢公司 曲速未來(lái) 提醒：使用用戶生成的加密密鑰是云備份，密碼管理器，加密錢包和身份驗(yàn)證協(xié)議等服務(wù)的常見做法，因?yàn)橹挥杏脩舨拍茉L問(wèn)密鑰。但是，這種方法唯一需要注意的是，如果用戶丟失密鑰，數(shù)據(jù)將永遠(yuǎn)丟失。 

這個(gè)錯(cuò)誤發(fā)生在前幾天報(bào)告的一個(gè)不同的Signal問(wèn)題之后，當(dāng)從Signal Chrome擴(kuò)展升級(jí)到Signal Desktop時(shí)，未加密的消息存儲(chǔ)在文本文件中。