2023/10/17

Signal diz desconhecer suposta vulnerabilidade 0-day

O Signal está novamente no centro das atenções, devido a referências de que contém uma vulnerabilidade 0-day que permite que um atacante se apodere do dispositivo.

Enquanto app de comunicação que leva a segurança e privacidade bem a sério, toda e qualquer vulnerabilidade adquire importância adicional no Signal. Recentemente, surgiu no X uma publicação que alertava para a divulgação iminente de uma vulnerabilidade grave, e a recomendar que os utilizadores desactivassem a opção de apresentação de previews nos links - indicando que a vulnerabilidade estaria relacionada com essa capacidade - e prometendo mais informação para breve.

No entanto, o Signal já veio dizer que tentou por todos os meios esclarecer a situação, e que não conseguiu obter qualquer informação ou fonte credível para a suposta vulnerabilidade; sendo que a publicação do Twitter que a referia também foi eliminada.
A opção de apresentar previews dos links é algo que habitualmente pode revelar informação sobre os utilizadores, dependendo da forma como esses previews são feitos e apresentados, se obtidos directamente pelo dispositivo do utilizador, ou obtido pelo serviço de mensagens e enviado para o utilizador (com prós e contras em ambas as situações). Por isso, não seria muito surpreendente se de facto existisse uma qualquer falha neste sistema (a apresentação de imagens e conteúdos multimédia em mensagens é também uma das formas mais comuns de explorar vulnerabilidades).

Mas, até que surjam dados concretos, desta vez parece tratar-se de um falso alarme.

Sem comentários:

Enviar um comentário (problemas a comentar?)