Η εφαρμογή Signal Messenger διερευνά τις φήμες που κυκλοφόρησαν στο διαδίκτυο το Σαββατοκύριακο, σχετικά με μια ευπάθεια zero-day που σχετίζεται με το χαρακτηριστικό “Δημιουργία Προεπισκοπήσεων Συνδέσμων“, δηλώνοντας ότι δεν υπάρχουν αποδείξεις ότι αυτή η ευπάθεια είναι πραγματική.
Δείτε επίσης: Trojanized Signal και Telegram apps μόλυναν χρήστες με το BadBazaar spyware
Αυτή η δήλωση ακολουθεί πολλές πηγές που απευθύνθηκαν στο BleepingComputer και στο Twitter, λέγοντας ότι μια νέα ευπάθεια zero-day επιτρέπει την πλήρη αποκάλυψη των συσκευών. Μετά από επικοινωνία με τη Signal, σχετικά με την ευπάθεια zero-day, ανακοίνωσαν μέσω Χ ότι έχουν ερευνήσει τις φήμες και δεν βρήκαν κανένα αποδεικτικό στοιχείο για την ύπαρξη αυτού του ελαττώματος.
“Ανακοίνωση: Έχουμε δει τις αόριστες αναφορές που έγιναν viral, υποστηρίζουν την ύπαρξη μιας ευπάθειας ZERO-DAY στο Signal“, αναφέρει ένα μήνυμα στο X.
“Μετά από μια υπεύθυνη έρευνα, δεν έχουμε ευρήματα που υποδεικνύουν την ύπαρξη αυτής της ευπάθειας, ούτε έχει κοινοποιηθεί πρόσθετη πληροφορία μέσω των επίσημων καναλιών αναφοράς μας.“
“Έλεγξαμε επίσης με ανθρώπους σε οργανισμούς της Αμερικανικής Κυβέρνησης, αφού η copy-paste αναφορά, ανέφερε την Αμερικανική Κυβέρνηση ως πηγή. Αυτοί που μιλήσαμε δεν διαθέτουν πληροφορίες που υποδηλώνουν ότι αυτή είναι μια έγκυρη δήλωση.“
Με αναφορά σε πηγές της αμερικανικής κυβέρνησης, η είδηση για τον υποτιθέμενο zero-day εξαπλώθηκε γρήγορα στο διαδίκτυο και στην κοινότητα της κυβερνοασφάλειας το απόγευμα του Σαββάτου. Αυτές οι ανώνυμες πηγές της USG ανέφεραν ότι η ευπάθεια θα μπορούσε να αντιμετωπιστεί με την απενεργοποίηση της ρύθμισης ‘Δημιουργία προεπισκοπήσεων συνδέσμων‘ στο Signal.
Δείτε ακόμα: SafeChat: Ψεύτικη εφαρμογή κλέβει δεδομένα Signal και WhatsApp
Ωστόσο, η εγκυρότητα αυτών των δηλώσεων δεν μπόρεσε να επιβεβαιωθεί, παρόλο που τις ακούσαμε από πολλούς ανθρώπους που ισχυρίζονται ακριβώς τα ίδια και από τις ίδιες πηγές.
Παρότι η Signal έχει δηλώσει ότι δεν έχει αποδείξεις για ένα νέο zero-day, ζητάει ακόμα από όσους έχουν νέες και “πραγματικές” πληροφορίες να επικοινωνήσουν με την ομάδα ασφαλείας της.
Καθώς η έρευνα σχετικά με την ευπάθεια συνεχίζεται ακόμα και η αντιμετώπιση περιλαμβάνει απλά την απενεργοποίηση της λειτουργίας Προεπισκόπησης Συνδέσμων, οι χρήστες μπορεί να θέλουν να απενεργοποιήσουν αυτήν τη ρύθμιση για την ώρα, μέχρι να επιβεβαιωθεί πλήρως ότι δεν είναι αληθινό.
Ένα zero-day bug είναι ένας τύπος ευάθειας, που είναι άγνωστος στον κατασκευαστή ή στον προμηθευτή του λογισμικού. Αυτός ο όρος προέρχεται από το γεγονός ότι ο κατασκευαστής του λογισμικού δεν έχει καμία ημέρα στη διάθεσή του, για να καταρτίσει και να διανείμει μια λύση πριν οι κακόβουλοι χρήστες αρχίσουν να εκμεταλλεύονται την ευπάθεια.
Δείτε επίσης: Microsoft Cyber Signals: Ευπάθειες σε κρίσιμες υποδομές
Πόσο διαδεδομένο είναι το πρόβλημα;
Τα zero-day bugs δεν είναι ασυνήθιστα. Οι ευπάθειες που δεν έχουν ανιχνευτεί ή διορθωθεί από τους προμηθευτές λογισμικού βρίσκονται συχνά και μπορούν να εκμεταλλευτούν τόσο σε οικιακά λειτουργικά συστήματα όσο και σε επαγγελματικές εφαρμογές. Η ανακάλυψη και η διόρθωση των zero-day bugs είναι ουσιώδης για τη διατήρηση της ασφάλειας ενός λογισμικού. Χωρίς έγκαιρη ανίχνευση και διόρθωση, οι κακόβουλοι χρήστες μπορούν να εκμεταλλευτούν αυτές τις ευπάθειες για να αποκτήσουν πρόσβαση σε εμπιστευτικές πληροφορίες, να προκαλέσουν ζημιά σε συστήματα ή να διακόψουν σημαντικές υπηρεσίες.
Οι πιθανές συνέπειες ενός zero-day bug
Τα zero-day bugs αποτελούν ιδιαίτερα σοβαρές απειλές για την ασφάλεια των ψηφιακών συστημάτων. Η ύπαρξη ενός τέτοιου ελαττώματος σημαίνει ότι οι επιθετικοί έχουν τη δυνατότητα να εκμεταλλευτούν το σύστημα, προτού οι αρμόδιοι το εντοπίσουν και το διορθώσουν. Το πρόβλημα είναι ακόμη πιο επείγον, δεδομένου ότι τα zero-day bugs μπορεί να παραμένουν απαρατήρητα για μεγάλο χρονικό διάστημα.
Η εκμετάλλευση ενός zero-day bug μπορεί να οδηγήσει σε πολλαπλές παραβιάσεις ασφάλειας. Οι εφαρμογές ή τα συστήματα που επηρεάζονται από αυτά τα ελαττώματα μπορούν να υποστούν:
- Διαρροή προσωπικών δεδομένων: Αν επηρεαστεί ένα σύστημα που διαχειρίζεται ευαίσθητα δεδομένα, τα προσωπικά δεδομένα των χρηστών μπορεί να διαρρεύσουν.
- Απόκτηση ανεξέλεγκτης πρόσβασης: Οι hackers μπορούν να αποκτήσουν πρόσβαση σε υπολογιστικά συστήματα και να ελέγξουν λειτουργίες.
- Σοβαρές χρηματικές απώλειες: Η εκμετάλλευση αυτών των ελαττωμάτων μπορεί να οδηγήσει σε σημαντικές χρηματικές απώλειες, τόσο από τη διαρροή πληροφοριών, όσο και από τις δράσεις αποκατάστασης των συστημάτων.
Αν και τα zero-day bugs συνιστούν σοβαρό κίνδυνο, μια ουσιαστική αντιμετώπιση από τους επαγγελματίες της ασφάλειας των πληροφοριών μπορεί να μειώσει τις πιθανότητες παραβίασης.
Πηγή: bleepingcomputer
