研究人员发现流行的以隐私为中心的消息传递应用Signal中存在一个严重漏洞,该漏洞影响了数百万的iOS和Android用户。
该漏洞由安全公司Tenable发现,该漏洞可能使黑客能够访问用户的粗略位置数据并绘制移动方式-例如用户可能在家,工作或他们最喜欢的本地出没的时间段。
要执行攻击,黑客只需使用Signal即可呼叫另一个用户,无论是否接听电话,其位置都可能受到影响。
该错误是在Android上的Signal v4.59.0中引入的,而自v3.8.0.34起的任何版本的iOS用户都可能处于危险之中。
信号漏洞
Signal消息应用程序具有通话和短信的端到端加密功能,每天在Android和iOS上吸引数百万关注隐私的用户。甚至臭名昭著的举报人和数据隐私拥护者爱德华·斯诺登都声称“每天都使用Signal”。
但是,根据Tenable发布的一份咨询报告,从隐私的角度来看,该应用程序并不像用户期望的那样具有水密性。
新发现的漏洞可用于泄露有关用户DNS的信息,进而泄露粗略的位置数据,并使黑客能够识别受害人在400英里半径范围内的位置。
尽管这对于大多数人来说似乎无关紧要,但黑客可以使用粗略的位置数据结合来自不同网络(国内Wi-Fi,公共热点,4G连接等)的DNS服务器ping来进行更精确的位置假设。
Signal很快通过GitHub 发布了该漏洞的补丁,Tenable在其通报中对此表示赞赏。但是,这家安全公司认为,该补丁程序需要大多数用户无法提供的技术专业知识,这意味着黑客可以自由滥用该漏洞,直到在Apple App Store和Google Play商店中提供该补丁程序为止。
在此期间,Tenable建议Signal用户安装提供DNS隧道的VPN服务,这可能会阻止攻击者利用此漏洞。
Signal并未立即回应我们的置评请求。