{"id":20665,"date":"2023-02-08T13:45:51","date_gmt":"2023-02-08T16:45:51","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20665"},"modified":"2023-02-09T10:36:53","modified_gmt":"2023-02-09T13:36:53","slug":"signal-desktop-file-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/signal-desktop-file-vulnerabilities\/20665\/","title":{"rendered":"Vulnerabilidades no Signal \u2013 o quanto elas s\u00e3o perigosas?"},"content":{"rendered":"

O pesquisador de ciberseguran\u00e7a John Jackson publicou um estudo<\/a> sobre duas vulnerabilidades que ele encontrou na aplica\u00e7\u00e3o de desktop do messenger Signal \u2013 a CVE-2023-24069<\/a> e a CVE-2023-24068<\/a>. O especialista tem certeza de que os cibercriminosos podem explorar essas vulnerabilidades para espionagem. Como os apps de desktop do Signal para todos os sistemas operacionais t\u00eam uma base de c\u00f3digo comum, ambas as falhas de seguran\u00e7a est\u00e3o presentes n\u00e3o apenas na vers\u00e3o Windows, mas tamb\u00e9m nas aplica\u00e7\u00f5es para MacOS e Linux. Todas as vers\u00f5es at\u00e9 a mais recente (6.2.0) s\u00e3o vulner\u00e1veis. Vejamos qu\u00e3o real \u00e9 a amea\u00e7a.<\/p>\n

Quais s\u00e3o as vulnerabilidades CVE-2023-24069 e CVE-2023-24068?<\/h2>\n

A primeira vulnerabilidade, a CVE-2023-24069, est\u00e1 em um mecanismo n\u00e3o muito bem desenvolvido que lida com arquivos enviados via Signal. Quando voc\u00ea envia um arquivo para o chat do Signal, o desktop client o salva em um diret\u00f3rio local. Quando um arquivo \u00e9 exclu\u00eddo, ele desaparece do diret\u00f3rio\u2026 a menos que algu\u00e9m responda a mensagem ou a encaminhe para outro chat. Al\u00e9m disso, apesar do Signal ser reconhecido como um aplicativo de mensagens instant\u00e2neas seguro e todas as comunica\u00e7\u00f5es por meio dele serem criptografadas, os arquivos s\u00e3o armazenados de forma desprotegida.<\/p>\n

J\u00e1 a vulnerabilidade CVE-2023-24068 foi encontrada durante um estudo mais aprofundado do cliente. Foi descoberto que o cliente n\u00e3o possui um mecanismo de valida\u00e7\u00e3o de arquivo. Teoricamente, isso permite que o invasor o substitua. Ou seja, se o arquivo encaminhado foi aberto no app para desktop, algu\u00e9m pode substitu\u00ed-lo na pasta local de maneira obtusa. Portanto, com transfer\u00eancias posteriores, o usu\u00e1rio distribuir\u00e1 o arquivo plantado em vez daquele que pretendia encaminhar.<\/p>\n

Como as vulnerabilidades CVE-2023-24069 e CVE-2023-24068 podem ser perigosas?<\/h2>\n

Os riscos potenciais do CVE-2023-24069 s\u00e3o mais ou menos compreens\u00edveis. Digamos que, se um usu\u00e1rio da vers\u00e3o para desktop do Signal deixar o computador desbloqueado sem vigil\u00e2ncia, algu\u00e9m poder\u00e1 obter acesso aos arquivos enviados pelo Signal. O mesmo pode acontecer se a criptografia completa do disco estiver habilitada no computador e o propriet\u00e1rio deix\u00e1-lo em algum lugar sem vigil\u00e2ncia (em quartos de hotel, por exemplo).<\/p>\n

A explora\u00e7\u00e3o da segunda vulnerabilidade requer uma abordagem mais abrangente. Digamos que uma pessoa receba e envie arquivos com frequ\u00eancia por meio do aplicativo Signal para desktop (por exemplo, um gerente enviando tarefas aos subordinados). Em seguida, um invasor com acesso ao seu computador pode substituir um dos arquivos ou, para fins de sigilo, modificar o documento existente, por exemplo, inserindo um script malicioso. Assim, com outras transfer\u00eancias do mesmo arquivo, seu propriet\u00e1rio original espalhar\u00e1 o malware para seus contatos.<\/p>\n

\u00c9 importante enfatizar que a explora\u00e7\u00e3o de ambas as vulnerabilidades s\u00f3 \u00e9 poss\u00edvel se o invasor j\u00e1 tiver acesso ao computador da v\u00edtima. Mas este n\u00e3o \u00e9 um cen\u00e1rio irreal \u2014 n\u00e3o estamos necessariamente falando de acesso f\u00edsico. Bastaria infectar o computador com malware que permite que estranhos manipulem arquivos.<\/p>\n

Como se manter seguro?<\/h2>\n

De acordo com o Programa CVE, os desenvolvedores do Signal discordam<\/a> da import\u00e2ncia dessas vulnerabilidades, afirmando que seu produto n\u00e3o deve e n\u00e3o pode proteger de invasores com esse n\u00edvel de acesso ao sistema da v\u00edtima. Portanto, o melhor conselho seria n\u00e3o usar a vers\u00e3o desktop do Signal (e as vers\u00f5es desktop de outros apps de mensagens instant\u00e2neas). Mas se o seu processo de trabalho exigir isso para algumas tarefas, recomendamos:<\/p>\n