黑客揭示了代码注入攻击在信号消息应用程序中的工作原理

正如我们上周末报道的那样，Signal已经修补了其针对Windows和Linux的消息应用程序，该应用程序遭遇了一个代码注入漏洞，该漏洞由一个来自阿根廷的白帽黑客团队发现并报告。
远程攻击者可能利用该漏洞，只需向收件人系统上运行的Signal desktop应用程序发送精心编制的链接，无需任何用户交互。

根据今天发表的一篇博文，该漏洞是在研究人员，伊万·阿里尔·巴雷拉·奥罗、阿尔弗雷多·奥尔特加和朱利亚诺·里佐，我们在Signal messenger上聊天，其中一人分享了一个有漏洞的网站链接，其URL中有XSS负载。

然而，XSS负载意外地在Signal desktop应用程序上执行。
XSS，也称为跨站点脚本，是一种常见的攻击向量，允许攻击者向脆弱的Web应用程序中注入恶意代码。

在通过测试多个XSS有效载荷分析了该问题的范围后，研究人员发现，该漏洞存在于负责处理共享链接的函数中，使得攻击者能够通过iFrame、图像、视频和音频标记注入用户定义的HTML/JavaScript代码。
利用此漏洞，攻击者甚至可以在收件人的聊天窗口中插入表单，诱使他们使用社会工程攻击来显示其敏感信息。

此前有人推测，该信号缺陷可能让攻击者执行系统命令或获取解密密钥等敏感信息，但事实并非如此。

在奥尔特加上周末发布概念验证视频后不久，信号开发者立即修补了该漏洞。
研究人员还发现，以前版本的桌面应用程序中存在针对该漏洞的修补程序（用于验证URL的正则表达式函数），但在今年4月10日发布的信号更新中不知何故删除或跳过了该漏洞。

现在，在了解了该漏洞的全部细节之后，这个问题似乎不像人们猜测的那样是一个关键或危险的问题。

因此，您可以自由地依靠信号进行加密通信，而无需担心。只要确保服务始终是最新的。