Signal修复桌面客户端加密密钥漏洞

Signal 最近通过更改存储纯文本加密密钥的方式,解决了其桌面客户端中的一个长期安全漏洞,该问题首次于2018年被报告。该漏洞涉及 Signal Desktop for Windows 和 Mac 将加密密钥以纯文本形式存储在本地文件中,使加密数据库容易受到同一台计算机上的任何用户或程序的访问。

最初,Signal 淡化了这一安全问题,表示静态加密并非桌面客户端的目标功能。这个回应是通过用户论坛中的 Signal 支持经理做出的,而不是对标记该问题的记者的官方回复。来源

研究人员 Nathaniel Suchy 发现并提出了该漏洞的解决方案,其中包括使用用户提供的密码来加密本地数据库,但直到最近才得到解决。Signal 最近的更改标志着在加强其桌面客户端安全性方面取得了重大改进,使其与处理敏感数据的其他软件采用的最佳实践保持一致。来源