白宫工作人员使用的安全消息应用“机密”易受攻击

据报道，唐纳德·特朗普总统的助手使用的安全消息应用程序“机密”进行秘密通话，承诺向用户提供“军事级端到端加密”，并声称没有人可以拦截和读取聊天内容，这些内容在阅读后会消失。

然而，两项独立的研究对该公司的声明发出了危险信号。

总部位于西雅图的IOActive的安全研究人员在最近对适用于Windows、Mac OS X和Android的应用程序的1.4.2版进行审计后，发现了该应用程序中的多个关键漏洞。

机密漏洞允许更改机密消息

这些关键缺陷使攻击者能够：

• 通过劫持帐户会话或猜测密码来模拟友好联系人，因为该应用无法阻止对帐户密码的暴力攻击。
• 监视机密用户的联系方式，包括真实姓名、电子邮件地址和电话号码。
• 拦截对话并解密消息。由于该应用程序的通知系统不需要任何有效的SSL服务器证书进行通信，中间人攻击者可能会抓取针对合法收件人的邮件。
• 在传输过程中更改消息或附件的内容，而无需先对其解密。
• 发送格式错误的消息，这些消息可能会导致应用程序崩溃、变慢或中断。

利用这些弱点，研究人员可以从一个包含80万到100万条记录的数据库中，访问两天（2月22日至24日）内创建的7000多条账户记录。

该漏洞暴露了特朗普的一名同事和几名国土安全部员工的详细信息

在这两天的样本中，研究人员甚至找到了唐纳德·特朗普的一位同事和国土安全部（DHS）的几名员工，他们下载了“信任”应用程序。

IOActive的研究人员迈克·戴维斯、瑞安·奥霍罗和尼克·阿查兹负责地向该应用的开发人员透露了总共11个单独的问题，开发人员立即对该应用进行了修补。
除此之外，Quarkslab的研究人员在分析了该应用程序的代码后，周三还展示了机密漏洞。

研究人员发现了一系列的iOS应用程序的设计漏洞，这可能使该公司能够读取用户信息，并补充说，当加密密钥被更改时，该应用程序不会通知用户。

甚至，公司也可以阅读你的信息

据研究人员称，“信任服务器可以通过执行中间人攻击来读取您的消息”，该应用程序的其他安全功能，如消息删除和屏幕截图预防，也可能被击败。

研究人员说：“机密中使用的端到端加密远远达不到最先进的水平”。“构建一个安全的即时通讯应用并不容易，但在宣称它的时候，从一开始就应该实施一些强大的机制”。

Quarkslab研究人员表示，公司服务器可以生成自己的密钥对，这意味着公司有能力在请求收件人的公钥时将公钥传输给客户端。

研究人员补充说：“然后，这个客户端不知不觉地对服务器可以解密的消息进行加密”。“最后，当服务器将邮件发送给收件人时，它可以使用自己的密钥为实际收件人重新加密邮件”。

针对Quarkslab的发现，Confite联合创始人兼总裁乔恩·布罗德表示：

“研究人员故意破坏了自己系统的安全性，绕过了机密的多层保护，包括应用程序签名、代码混淆和证书固定。他们声称展示的攻击不适用于机密的合法用户，他们从多重安全保护中受益我们已经准备好了。破坏自己的安全或完全控制设备会使整个设备易受攻击，而不仅仅是信任应用程序"。

“信心”推出了其应用程序的更新版本，其中包括对关键问题的修复，并向其客户保证，没有任何其他方利用这些缺陷的事件。

与其他安全消息应用不同，吐露是一款代码保密的应用，在此之前，它很少或根本没有提供应用中使用的加密协议的详细信息。