Dua peneliti telah menemukan beberapa kerentanan di Signal, aplikasi pesan populer end-to-end terenkripsi yang direkomendasikan oleh whistleblower Edward Snowden. Salah satu kerentanan dapat memungkinkan penyerang menambahkan data acak lampiran pesan terenkripsi yang dikirim oleh pengguna Android, sedangkan bug lain dapat memungkinkan hacker untuk melakukan remote crash perangkat korban.
Untuk saat ini kerentanan baru saja ditambal, tapi versi terbaru dari Signal belum tersedia di Github open source repository dan bukan pada Google Play Store resmi untuk aplikasi Android. Itu berarti, jika Anda telah menginstal aplikasi Signal melalui Google Play Store, seperti jutaan pengguna lainnya dari pengguna Android, Anda masih rentan terhadap serangan hacker.
Dikembangkan oleh pen source software group Open Whisper System, Signal adalah aplikasi messaging gratis dan open source yang dirancang khusus untuk pengguna Android dan iOS untuk membuat pesan aman dan terenkripsi berserta panggilan suara.
Kelemahan dalam versi Android dari Signal meliputi:
Untuk saat ini kerentanan baru saja ditambal, tapi versi terbaru dari Signal belum tersedia di Github open source repository dan bukan pada Google Play Store resmi untuk aplikasi Android. Itu berarti, jika Anda telah menginstal aplikasi Signal melalui Google Play Store, seperti jutaan pengguna lainnya dari pengguna Android, Anda masih rentan terhadap serangan hacker.
Dikembangkan oleh pen source software group Open Whisper System, Signal adalah aplikasi messaging gratis dan open source yang dirancang khusus untuk pengguna Android dan iOS untuk membuat pesan aman dan terenkripsi berserta panggilan suara.
Kelemahan dalam versi Android dari Signal meliputi:
- Message authentication-bypass vulnerability
- Remote crash bug
Peneliti Jean-Philippe Aumasson dan Markus Vervier telah menemukan message authentication-bypass vulnerability saat meninjau kode Java yang digunakan oleh Signal untuk Android. Para penyerang dengan kemampuan untuk berkompromi dengan server Signal atau memantau data yang lewat di antara pengguna Signal (Man-in-the-Middle attack) yang akan dapat menambahkan data pseudorandom.
0 comments:
Post a Comment