在去年12月初,紐西蘭電腦系統工程師Rob Connolly,在加密通訊軟體Signal的Android版本GitHub程式碼儲存庫,回報了錯誤顯示圖像的臭蟲,而官方現在終於表示,該臭蟲在7月21日剛發布的5.17版本已經修復了。

官方超過半年才修復這個照片洩漏的重大問題,這之間陸續有許多使用者遭遇到相同問題,並且批評官方,這項臭蟲傷害了Signal的機密性,應該把該臭蟲當作優先項目修補,而非經過這麼久的時間,讓更多用戶暴露在風險之中。

Rob Connolly在2020年12月4日回報了這個問題,臭蟲發生在他與和友人B間的標準對話,當他分享一個由內建GIF搜尋功能搜尋而來的GIF圖像,而友人B也的確收到了該GIF圖像,但同時還多了非Rob Connolly所分享的圖像,Rob Connolly猜測這些額外的圖像可能來自於其他用戶,他在回報這個臭蟲的時候,無從得知照片來自於哪一個使用者,也並非是來自B與其他使用者的對話,但是可以確定,的確有位使用者的資料遭盜洩漏。

官方在12月5日的時候,回應了這個問題,詢問了問題訊息發生的時間,到了12月22日,又有另二位使用者發生同樣的狀況,而且在手機端收到不知名使用者的照片,在電腦端的應用程式,則同樣也會出現這些照片,即便用戶已經在行動裝置上刪除了歷史紀錄。

有一位使用者提到,他受這個臭蟲嚴重影響,甚至當他僅傳送文字,而且沒有附加任何圖像的情況下,他的文字會被自動加上不知從何而來的圖像。有使用者認為,這個臭蟲嚴重影響Signal的對話隱私性,並且無法機密安全地傳送圖像。

而這個臭蟲終於在7月21日發布的517版本中修復,這個錯誤源自於SQLite Autoincrement的臭蟲,是資料庫屬性和另一個獨立臭蟲,在罕見交集的情況便會造成Signal圖像洩漏,官方提到,當有人修剪了對話,便可能創造一個極少見的情況,使得資料庫ID被重新使用,這個問題在他們收到通報後,立刻列為優先處理的任務,但是這個臭蟲在一開始時,難以被追蹤,且這屬於資料庫本身的臭蟲。而在SQLite修復該臭蟲後,因為該資料庫臭蟲所導致的類似問題,也就不會再次發生。


熱門新聞

Advertisement