Расширение Keybase раскрывает сообщения пользователей

Back to Blog

Расширение Keybase раскрывает сообщения пользователей

Расширение Keybase раскрывает сообщения пользователей

Приложение не обеспечивает сквозное шифрование.

Десктопное расширение приложения Keybase, призванного обезопасить передачу трафика, не обеспечивает в должной мере заявленное разработчиками сквозное шифрование. В ходе анализа работы расширения создатель инструмента AdBlock Plus Владимир Палант заметил , что передаваемые сообщения видимы стороннему JavaScript коду. Расширение добавляет опцию «Keybase Chat» на страницы профилей в Facebook, Twitter, GitHub, Reddit и Hacker News. Нажатие на кнопку открывает окно чата, где пользователи могут вводить свои сообщения. Как указано в разделе вопросов и ответов политики Keybase, «готовый текст отправляется локальной копии Keybase, которая шифрует сообщение и отправляет его через чат Keybase». По словам Паланта, в этом и кроется проблема: сообщения не шифруются «по пути» к десктопному расширению. Keybase внедряет соответствующую кнопку, но не изолируется от web-страниц.

«Сообщение Keybase, которое вы вводите на Facebook, ни в коей мере не конфиденциально. JavaScript код Facebook может прочитать текст, в то время как вы вводите его», — пояснил Палант.

Данный факт представляет существенный риск, особенно в случаях, если браузер пользователя или JavaScript код ресурсов скомпрометирован. По словам Паланта, использование iframe помогло бы решить проблему, однако в ответ на предложение специалиста разработчики Keybase сообщили, что это невозможно по техническим причинам.

Палант порекомендовал пользователям деинсталлировать приложение, особенно если оно используется для конфиденциальной коммуникации.

Поделиться этим постом

Back to Blog