由於EFAIL漏洞影響E-mail加密郵件安全性,EFF則建議可以暫時使用加密通訊軟體Signal做替代,不過,Signal這邊似乎也不太平靜,除了不久前被爆出Mac版Signal留存該消失的過期訊息外,在一周內被爆出兩個桌面版應用程式的程式碼注入攻擊漏洞,皆能讓駭客從遠端發送惡意程式碼,而且過程無須用戶參與。

第一個漏洞是被阿根廷的白帽駭客在無意間發現的,資訊安全研究員Iván Ariel Barrera Oro、Alfredo Ortega以及Juliano Rizzo三人使用Signal聊天,其中一人貼了跨站腳本攻擊(cross-site scripting,XSS)負載的鏈結,而這個XSS負載卻被Signal桌面應用程式意外的執行了。

這個代碼為CVE-2018-10994的漏洞,嚴重的地方在於駭客可以自己開始與被害人的對話,而且在攻擊的過程不需要被害人參與互動,Windows、Linux以及macOS平臺的桌面應用程式都在漏洞影響範圍之內,駭客只要傳送一個精心製作的網址給被害人,就能輕易攻擊對方。

資訊安全研究人員試了各種HTML的元素包含img、form、script、object、frame、framset、iframe甚至聲音與影片元素都有效,他們提到,特別是在iframe中,還可以透過微軟伺服器訊息區塊(SMB)協定分享惡意程式碼,讓駭客遠端執行任意惡意程式碼。

研究人員對此做了一個概念性驗證,發現利用HTML iframe可以竊取Windows用戶的NTLMv2雜湊密碼。他們提到,在Windows作業系統中,CSP(Commercial Service Provider)無法阻止透過SMB協定傳送的遠程攻擊資源。

更引人注意的是,Signal以飛快的速度以修補了該漏洞,而該補丁內含一個龐大的正規表示式,資訊安全研究員提到,他們無法置信Signal官方能在這麼短的時間撰寫這個複雜的式子,結果深入了解發現,該補丁早就存在,但是在4月時為了修復部分問題被移除了,現在只是恢復該補丁。資訊安全研究員認為,那之前移除該補丁的問題應該就又回來了。

在第一個漏洞修補完後,資訊安全研究員隨後又發現Signal桌面版本的另一個漏洞CVE-2018-11101,與先前漏洞類似,但這次是發生在引述訊息的功能中,也就說現在駭客只是多一道手續,先發送HTML/JavaScript惡意程式碼,接著再引述該訊息,便能進接著進行第一個漏洞後續的攻擊,而同樣的,Signal桌面應用程式會自動執行收到的惡意程式碼,不需要與受害者互動。

Signal官方在收到通知後,對第二個漏洞也進行了修補,Signal桌面應用程式有自動更新功能,多數用戶的軟體應該皆已更新,還未更新的用戶也應該趕緊手動更新,因為該漏洞有機會讓用戶的加密訊息以明文曝光,或是導致其他更嚴重的後果。


Advertisement

更多 iThome相關內容