Из-за ошибки в Keybase закрытые ключи пользователей сохраняются на серверах Google

Tihon74
Оффлайн

Tihon74

Заблокирован
Регистрация
25.06.17
Сообщения
2.588
Реакции
71
Репутация
157
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.


Многие пользователи воспринимают ошибку как специальную функцию для восстановления приложения из бэкапов.

Компания Keybase предупредила пользователей Android-устройств об ошибке в своем мобильном приложении, из-за которой закрытые ключи шифрования для переписки и других данных автоматически сохранялись в резервных копиях на серверах Google. Закрытые ключи используются в паре с открытыми для проверки личности пользователей и шифрования сообщений, отправляемых через чат Keybase. Согласно уведомлению компании, в настоящее время ошибка уже исправлена.

Баг затрагивает только пользователей, скачавших Android-приложение Keybase одними из первых (порядка 10%). Проблема касается тех, кто делает резервные копии своих Android-устройств через Google Play, повторно использует пароли от других сервисов или использует слабые парольные фразы.

«В ранней бета-версии нашего Android-приложения есть ошибка, из-за которой Google может создавать зашифрованные резервные копии вашего ключа (зашифрованные с помощью выбранной вами парольной фразы Keybase, которую не знают ни Keybase, ни Google). Некоторые пользователи воспринимают это как функцию, позволяющую с помощью резервных копий продолжать использовать Keybase на новых Android-устройствах. Однако мы не имели цели реализовать подобную функцию. Наоборот, мы хотели, чтобы новые установки Keybase не могли работать из резервных копий. Почему? Потому что многие пользователи выбирают очень слабые пароли», - говорится в уведомлении компании.

Проблема не представляет собой угрозу, если парольную фразу, с помощью которой шифруется резервная копия ключа, сложно взломать. Для начала атакующему придется получить доступ к учетной записи жертвы в Google (для того чтобы добраться до резервных копий), а затем к парольной фразе (для расшифровки закрытого ключа). Если парольная фраза недостаточно надежная, злоумышленник сможет расшифровать ключ и использовать его для расшифровки всей переписки и других данных в Keybase.
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу