加密消息应用程序Confide遭受许多安全问题

Confide,一种加密的即时消息传递应用程序,具有一个自毁消息传递系统,该系统可以 变得流行 与白宫工作人员在一起,毕竟不是那么安全。

倾诉安全问题

主动今天发布了 结果 该公司的’对该应用程序的最新研究,并指出他们发现了几个问题,攻击者可能会利用这些问题来劫持另一个用户,方法是劫持他们的帐户会话或猜测其密码,了解所有或特定Confide用户的联系方式,并成为中介在对话中解密消息,并更改消息或附件的内容,而无需先对其进行解密。

这一切都是可能的,因为:

  • 该应用程序的通知系统不需要有效的SSL服务器证书即可进行通信
  • 当收到未加密的消息时,用户界面没有任何指示
  • 该应用无法使用经过身份验证的加密(使Confide能够更改传输中的消息)
  • 它允许攻击者枚举所有Confide用户帐户,但未能阻止对用户帐户密码的暴力攻击
  • 该应用程序的网站容易受到任意URL重定向的攻击,这可能有助于对其用户进行社会工程学攻击。

研究人员向公司透露了该应用程序背后的缺陷,而Confide显然已修复了该产品的最新版本(Windows客户端,Android应用程序)中的所有关键问题。

但是在同一天,Quarkslab研究人员 来了 自行测试应用程序的安全性,其中包括Windows版本1.4.3(最新版本)。

他们说,Confide可以读取通过其服务器的所有消息,因为Confide可以在不通知用户的情况下为用户创建一组新的加密密钥,并使用这些密钥对用户进行解密’ messages.

此外,任何能够在TLS会话中注入公钥的人都可以在用户不知道的情况下读取所有消息。

“目前,至少Confide或破坏Confide服务器的攻击者在技术上可以通过设计做到这一点,” they noted. “如果无法访问Confide服务器,则该攻击将需要破坏TLS层和HTTP公共密钥固定。”

最后,他们还说可以防止屏幕截图保护和消息删除安全功能,并承诺在以后的帖子中透露如何做。

研究人员说,总而言之,用户不应认为该消息传递应用程序是完全安全的,而应决定在公司解决问题之前是否有冒险使用它的风险。

分享这个