Signal важи за една од најбезбедните апликации за размена на пораки. За жал, овој месец повторно можеме да се увериме дека најбезбедна не значи и сосем безбедна.
Над 1900 корисници на Signal се жртви на минатонеделниот напад врз Twilio. Twilio е американска компанија со седиште во Сан Франциско. Компанијата на своите клиенти им овозможува да додадат двојна авторизација во своите апликации. Минатата недела Twilio објави дека дел од нивните вработени биле жртва на фишинг напад. Иако имаат над 150 000 деловни клиенти, вклучувајќи ги Facebook и Uber, зафатени беа профили на 125 корисници.
Напад врз Twilio
Напаѓачите со фишинг кампања успеале да убедат некои од вработените во Twilio да им ги предадат своите податоци. Благодарение на ова успеале да дојдат до дел од интерните системи.
Нападот започнал со SMS пораки со содржина која од вработените барала да ги ресетираат своите лозинки, или да го променат својот распоред за работа. Пораката доаѓа со линк до веб-страница која е копија на Twilio, и ако не биле исклучително внимателни, вработените се логирале на погрешна страница и им ги предавале своите податоци на напаѓачите.
Штом забележалe, Twilio ги контактирале провајдерите и побарале веднаш да запре SMS кампањата. Сепак напаѓачите биле добро организирани и се префрлале од еден на друг провајдер.
Компанијата сѐ уште не сподели јавно кои податоци се украдени од жртвите.
Нападот врз Twilio го овозможи нападот врз Signal
Во соопштените за нападот кое го споделија од Signal, компанијата извести дека нападот е последица на нападот врз Twilio. Сега е извесно дека една од 125-те жртви на овој напад во Twilio бил и Signal.
Околу 1900 корисници на Signal се потенцијални жртви на напад. Напаѓачот има пристап до телефонските броеви и SMS пораките за регистрација. Ова на потенцијалниот напаѓач ќе му овозможи да регистрира сопствен уред на профилот на корисникот, и потоа ќе можат да прима и да испраќа пораки.
До останатите податоци како историјат на пораките, информации за профилот, листа на контакти, напаѓачот ниту пристапил, ниту ќе може да пристапи. Пораките не се чуваат на Signal, па не може воопшто да бидат „повлечени“, а листата на контакти е дополнително заштитена со пин.
Компанијата веќе ги известила жртвите преку SMS и ги советувала повторно да се регистрираат и да искористат „registration lock“. Со оваа заштита, за регистрирање нов уред ќе биде неопходно да биде внесен и пинот на корисникот.
Зафатените корисниците се одрегистрирани од сите уреди кои ги користат. Ова секако ги вклучува уредите кои можеби ги регистрирале напаѓачите. Корисникот ќе треба повторно да се регистрира од неговиот префериран уред.
Се чини дека нападот можеби е фокусиран, од Signal велат дека напаѓачите експлицитно пребарувале 3 телефонски броја. Еден од овие тројца корисници пријавил дека неговиот профил е ре-регистриран, објави Signal на својот блог.