研究人員發(fā)現(xiàn)流行的以隱私為中心的消息傳遞應用Signal中存在一個嚴重漏洞���,該漏洞影響了數(shù)百萬的iOS和Android用戶�����。
該漏洞由安全公司Tenable發(fā)現(xiàn)���,該漏洞可能使黑客能夠訪問用戶的粗略位置數(shù)據并繪制移動方式-例如用戶可能在家,工作或他們最喜歡的本地出沒的時間段����。
要執(zhí)行攻擊,黑客只需使用Signal即可呼叫另一個用戶���,無論是否接聽電話���,其位置都可能受到影響�����。
該錯誤是在Android上的Signal v4.59.0中引入的�����,而自v3.8.0.34起的任何版本的iOS用戶都可能處于危險之中��。
信號漏洞
Signal消息應用程序具有通話和短信的端到端加密功能�,每天在Android和iOS上吸引數(shù)百萬關注隱私的用戶��。甚至臭名昭著的舉報人和數(shù)據隱私擁護者愛德華·斯諾登都聲稱“每天都使用Signal”��。
但是����,根據Tenable發(fā)布的一份咨詢報告,從隱私的角度來看�����,該應用程序并不像用戶期望的那樣具有水密性。
新發(fā)現(xiàn)的漏洞可用于泄露有關用戶DNS的信息�����,進而泄露粗略的位置數(shù)據���,并使黑客能夠識別受害人在400英里半徑范圍內的位置�。
盡管這對于大多數(shù)人來說似乎無關緊要�����,但黑客可以使用粗略的位置數(shù)據結合來自不同網絡(國內Wi-Fi��,公共熱點�����,4G連接等)的DNS服務器ping來進行更精確的位置假設����。
Signal很快通過GitHub 發(fā)布了該漏洞的補丁��,Tenable在其通報中對此表示贊賞�����。但是,這家安全公司認為���,該補丁程序需要大多數(shù)用戶無法提供的技術專業(yè)知識����,這意味著黑客可以自由濫用該漏洞�����,直到在Apple App Store和Google Play商店中提供該補丁程序為止����。
在此期間,Tenable建議Signal用戶安裝提供DNS隧道的VPN服務�����,這可能會阻止攻擊者利用此漏洞�����。
Signal并未立即回應我們的置評請求��。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
