Facebook ответила ФБР созданием чата с открытым исходным кодом

Олег Иванов 10 Января 2018 - 11:20

Средства криптографической защиты информации

...

Facebook ответила ФБР созданием чата с открытым исходным кодом

Социальная сеть Facebook отреагировала на критику ФБР относительно функций шифрования данных на смартфонах, предоставив групповой чат с функцией шифрования с открытым исходным кодом.

Напомним, что во вторник Кристофер Рей, директор Федерального бюро расследований США, заявил о том, что для ведомства представляет проблему шифрование данных на мобильных устройствах. Премьер-министр Великобритании Тереза Мэй также призвала к установке бэкдоров в службах обмена сообщениями и социальных сетях.

Выпущенный Facebook вчера на GitHub проект, по словам компании, решает проблему защиты группового чата. Проект получил название ART или Asynchronous Ratcheting Tree.

Отмечается, что в ART решена проблема безопасности таких решений, как WhatsApp, Facebook Messenger и Signal, где используется более простой механизм передачи ключей («sender keys»). Для защиты групповых чатов ART получает групповой ключ для абонентов, который защищен, даже если некоторые из них не подключены к сети. Таким образом, даже после полной компрометации агент может участвовать в обмене сообщениями при помощи безопасного группового ключа.

В качестве схемы ART использует «asymmetric prekeys» — модель, созданную для TextSecure, а также одноразовый асимметричный ключ настройки. Ключ настройки генерируется создателем группового чата и используется только во время создания сеанса, позволяя администратору группы создавать секретные ключи для других участников чата.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 25 Ноября 2024 - 15:19

Уязвимости программ Домашние пользователи

Давно не обновляли 7-Zip? В нем может присутствовать RCE-уязвимость

Участник проекта Trend Micro Zero Day Initiative (ZDI) выявил в 7-Zip уязвимость, позволяющую выполнить вредоносный код в Windows. Патч вышел в составе сборки 24.07; обновление архиватора возможно лишь вручную.

Согласно бюллетеню ZDI, причиной появления проблемы CVE-2024-11477 является некорректная реализация механизма разуплотнения данных Zstandard, а точнее, неадекватная проверка пользовательского ввода.

Из-за этого возник риск возникновения целочисленного переполнения через нижнюю границу представления. Данную ошибку, по словам автора находки, можно использовать для выполнения произвольного кода в контексте текущего процесса.

Эксплойт возможен с помощью специально созданного архива; автору атаки также придется убедить пользователя открыть вредоносный файл. В случае успеха последствия могут быть различными, от кражи данных до полной компрометации целевой системы.

Получив отчет ZDI, разработчики создали патч и включили его в выпуск 24.07. Пользователям 7-Zip настоятельно рекомендуется обновить продукт до последней версии (текущая — 24.08).

Формат 7z не менее популярен, чем ZIP и RAR; в прошлом году его поддержка была добавлена в Windows 11. Сам архиватор с открытым кодом поддерживает MotW — защиту Windows от drive-by-загрузок, однако оказалось, что он плохо распознает угрозы, спрятанные путем конкатенации архивных файлов.