{"id":27538,"date":"2023-01-27T11:02:13","date_gmt":"2023-01-27T09:02:13","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27538"},"modified":"2023-01-27T11:02:13","modified_gmt":"2023-01-27T09:02:13","slug":"signal-desktop-file-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/signal-desktop-file-vulnerabilities\/27538\/","title":{"rendered":"Vulnerabilit\u00e0 in Signal: quanto sono pericolose?"},"content":{"rendered":"

John Jackson, cybersecurity researcher<\/em>, ha pubblicato uno studio<\/a> su due vulnerabilit\u00e0 riscontrate nel client desktop di Signal, un\u2019app di messaggistica. Si tratta di CVE-2023-24069<\/a> e CVE-2023-24068<\/a>. L\u2019esperto assicura che i criminali possano sfruttare queste vulnerabilit\u00e0 per spiare le proprie vittime. Dato che le app desktop di Signal per tutti i sistemi operativi hanno una base di codice comune, entrambe le vulnerabilit\u00e0 sono presenti non solo nel client Windows, ma anche nei client MacOS e Linux. Tutte le versioni fino alla pi\u00f9 recente (6.2.0) sono vulnerabili. Analizziamo quanto sia reale questa minaccia.<\/p>\n

Quali sono le caratteristiche delle vulnerabilit\u00e0 CVE-2023-24069 e CVE-2023-24068?<\/h2>\n

La prima vulnerabilit\u00e0, CVE-2023-24069, risiede in un meccanismo mal progettato che gestisce i file inviati tramite Signal. Quando si invia un file alla chat di Signal, il client desktop lo salva in una directory locale. Quando un file viene eliminato, scompare dalla directory a meno che\u2026 qualcuno non risponda o lo inoltri a un\u2019altra chat. Inoltre, nonostante Signal sia considerato un\u2019app di messaggistica sicura e tutte le comunicazioni siano crittografate, i file vengono memorizzati in un modo non protetto.<\/p>\n

La vulnerabilit\u00e0 CVE-2023-24068 \u00e8 stata identificata durante un ulteriore studio del client. \u00c8 emerso che il client non dispone di un meccanismo di convalida dei file e, teoricamente, questo permette ai malintenzionati di sostituirli. In altre parole, se il file inoltrato \u00e8 stato aperto sul client desktop, qualcuno pu\u00f2 sostituirlo nella cartella locale con uno contraffatto. Di conseguenza, l\u2019utente potrebbe distribuire il file sostituito al posto di quello che intendeva inoltrare.<\/p>\n

Quanto sono pericolose le vulnerabilit\u00e0 CVE-2023-24069 e CVE-2023-24068?<\/h2>\n

\u00c8 facile immaginare i rischi potenziali di CVE-2023-24069. Ad esempio, se un utente che usa la versione desktop di Signal lascia incustodito il computer, qualcuno pu\u00f2 accedere ai file inviati tramite Signal. Lo stesso pu\u00f2 accadere se la crittografia completa del disco \u00e8 abilitata sul computer e il proprietario tende a lasciarlo incustodito (in una camera d\u2019albergo, per esempio).<\/p>\n

Lo sfruttamento della seconda vulnerabilit\u00e0 richiede un approccio pi\u00f9 complesso. Supponiamo che una persona riceva e invii spesso file tramite l\u2019applicazione desktop di Signal (ad esempio, un manager che invia incarichi ai suoi subordinati). Un hacker che abbia accesso al suo computer pu\u00f2 sostituire uno dei file o per motivi di sicurezza modificare un documento esistente, ad esempio, inserendovi uno script dannoso. In questo modo, se questo file viene inoltrato, il proprietario diffonder\u00e0 malware ai suoi contatti.<\/p>\n

\u00c8 importante sottolineare che lo sfruttamento di entrambe le vulnerabilit\u00e0 \u00e8 possibile solo se il malintenzionato ha accesso al computer della vittima. Ma questa non \u00e8 un\u2019ipotesi irreale: non si tratta necessariamente di un accesso fisico. Sarebbe sufficiente infettare il computer con un malware che permetta ad un estraneo di manipolare i file.<\/p>\n

Come rimanere al sicuro?<\/h2>\n

Rifacendosi al dizionario di vulnerabilit\u00e0 CVE o Common Vulnerabilities and Exposures<\/em> (in italiano Vulnerabilit\u00e0 ed Esposizioni Comuni), gli sviluppatori di Signal dichiarano di non essere d\u2019accordo<\/a> sull\u2019importanza di queste vulnerabilit\u00e0, ed affermano che il loro prodotto non dovrebbe e non pu\u00f2 proteggere da hacker con un livello di accesso di questo tipo al sistema della vittima. Quindi, il consiglio migliore \u00e8 quello di non utilizzare la versione desktop di Signal (e le versioni desktop dei client di messaggistica in generale). Tuttavia, se per alcuni compiti il vostro lavoro lo richiede, allora vi consigliamo di:<\/p>\n