Странная история с найденной уязвимостью в Signal.
Две недели назад Иран заблокировал использование мессенджера на своей территории. В ответ на это Signal предложил пользователям поддержать цифровую демократию в Иране и поучаствовать в создании TLS-прокси, с помощью которых персидские сподвижники смогут обходить блокировку.
В пятницу исследователь DuckSoft разметил на GitHub статью о том, что из-за корявости кода Signal иранские госорганы могут спокойно отследить все такие TLS-прокси и заблокировать их. Там же приводился PoC за авторством исследователя studentmain. А дальше начался цирк.
Ресерчеры направили данные в Signal. Администрация мессенджера выпилила статью на GitHub, сказав, что такие вопросы необходимо обсуждать на форуме Signal. Затем заблокировали DuckSoft на своем форуме, а в Twitter объяснили, что причиной всему этому стала "безответственность исследователя". Мол, если бы он тихонько написал про уязвимость безопасникам Signal, то все было бы ровно. А он зачем-то выкинул это на публику, негодяй. И вообще вел себя неуважительно.
Исследователи перезалили тему на GitHub, уже с соответствующими комментариями.
А в качестве вишенки на торте выступила статья BleepingComputer, которую под нажимом администрации мессенджера журналисты вынуждены были снести, а вместо нее поставили путанное извинение.
Статья Signal's TLS Proxy Failed to be Probing Resistant and seems leak:
Signal's TLS Proxy Failed to be Probing Resistant and seems leaky · Issue #60 · net4people/bbs
Links Signal Post: https://signal.org/blog/help-iran-reconnect/ Their Repository: https://github.com/signalapp/Signal-TLS-Proxy Our Original Issue: https://github.com/signalapp/Signal-TLS-Proxy/iss...
github.com
PoC
xss.is - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
pastebin.com
Пример запуска PoC
xss.is - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
pastebin.com
Две недели назад Иран заблокировал использование мессенджера на своей территории. В ответ на это Signal предложил пользователям поддержать цифровую демократию в Иране и поучаствовать в создании TLS-прокси, с помощью которых персидские сподвижники смогут обходить блокировку.
В пятницу исследователь DuckSoft разметил на GitHub статью о том, что из-за корявости кода Signal иранские госорганы могут спокойно отследить все такие TLS-прокси и заблокировать их. Там же приводился PoC за авторством исследователя studentmain. А дальше начался цирк.
Ресерчеры направили данные в Signal. Администрация мессенджера выпилила статью на GitHub, сказав, что такие вопросы необходимо обсуждать на форуме Signal. Затем заблокировали DuckSoft на своем форуме, а в Twitter объяснили, что причиной всему этому стала "безответственность исследователя". Мол, если бы он тихонько написал про уязвимость безопасникам Signal, то все было бы ровно. А он зачем-то выкинул это на публику, негодяй. И вообще вел себя неуважительно.
Исследователи перезалили тему на GitHub, уже с соответствующими комментариями.
А в качестве вишенки на торте выступила статья BleepingComputer, которую под нажимом администрации мессенджера журналисты вынуждены были снести, а вместо нее поставили путанное извинение.
Статья Signal's TLS Proxy Failed to be Probing Resistant and seems leak:
Signal's TLS Proxy Failed to be Probing Resistant and seems leaky · Issue #60 · net4people/bbs
Links Signal Post: https://signal.org/blog/help-iran-reconnect/ Their Repository: https://github.com/signalapp/Signal-TLS-Proxy Our Original Issue: https://github.com/signalapp/Signal-TLS-Proxy/iss...
github.com
PoC
xss.is - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
pastebin.com
Пример запуска PoC
xss.is - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
pastebin.com