Расширение Keybase раскрывает сообщения пользователей
Приложение не обеспечивает сквозное шифрование.
Десктопное расширение приложения Keybase, призванного обезопасить передачу трафика, не обеспечивает в должной мере заявленное разработчиками сквозное шифрование. В ходе анализа работы расширения создатель инструмента AdBlock Plus Владимир Палант заметил , что передаваемые сообщения видимы стороннему JavaScript коду. Расширение добавляет опцию «Keybase Chat» на страницы профилей в Facebook, Twitter, GitHub, Reddit и Hacker News. Нажатие на кнопку открывает окно чата, где пользователи могут вводить свои сообщения. Как указано в разделе вопросов и ответов политики Keybase, «готовый текст отправляется локальной копии Keybase, которая шифрует сообщение и отправляет его через чат Keybase». По словам Паланта, в этом и кроется проблема: сообщения не шифруются «по пути» к десктопному расширению. Keybase внедряет соответствующую кнопку, но не изолируется от web-страниц.
«Сообщение Keybase, которое вы вводите на Facebook, ни в коей мере не конфиденциально. JavaScript код Facebook может прочитать текст, в то время как вы вводите его», — пояснил Палант.
Данный факт представляет существенный риск, особенно в случаях, если браузер пользователя или JavaScript код ресурсов скомпрометирован. По словам Паланта, использование iframe помогло бы решить проблему, однако в ответ на предложение специалиста разработчики Keybase сообщили, что это невозможно по техническим причинам.
Палант порекомендовал пользователям деинсталлировать приложение, особенно если оно используется для конфиденциальной коммуникации.