Zoom的Keybase应用程序中的缺陷使聊天图像不被删除

Zoom的Keybase安全聊天应用程序中的一个严重缺陷是，在据说删除了Keybase用户的计算机后，安全通信中包含的图像副本被保留了下来。

加密消息传递应用程序（CVE-2021-23827）中的漏洞不会使Keybase用户遭受远程破坏。但是，这可能会使他们的安全，隐私和安全受到威胁，特别是对于生活在独裁统治下的用户而言，在这种独裁统治下，越来越多地依赖诸如Keybase和Signal之类的应用程序作为进行对话的一种方式，而不是出于执法或安全服务的考虑。

该漏洞是由Sakura Samurai小组的研究人员发现的，它是Zoom提供的错误赏金计划的一部分，该计划于2020年5月收购了Keybase。Zoom表示已修复了适用于Windows，macOS和Linux的最新软件版本中的漏洞。 。

根据Sakura Samurai的研究员John Jackson所说，Keybase缺陷以两种方式表现出来。第一：Jackson发现无法可靠地从与客户端应用程序相关联的临时文件夹/ uploadtemps中删除复制并粘贴到Keybase聊天中的图像。 “在一般情况下，当您复制并粘贴Keybase聊天记录时，该文件夹将出现在（uploadtemps）文件夹中，然后立即被删除，” Jackson在电话采访中告诉Security Ledger。 “但是偶尔也不会发生。显然存在某种软件错误-各种冲突-无法清除图像。”

发现这一缺陷使Sakura Samurai研究人员开始寻找更多东西，他们很快又再次付出了代价。樱花武士成员Aubrey Cottle（@kirtaner），Robert Willis（@rej_ex）和Jackson Henry（@JacksonHHax）发现了与Keybase客户端相关联的未加密目录/ Cache，该目录包含来自加密聊天会话的图像的完整记录。该应用程序使用了自定义扩展名来命名文件，但是通过将自定义文件扩展名更改为PNG图像格式，可以很容易地直接或简单地查看它们。

Zoom发言人在一份声明中说，该公司对研究人员的工作表示赞赏，并“非常认真地”对待隐私和安全性。

“我们解决了Sakura Samurai研究人员在Keybase平台上针对Windows和macOS的版本5.6.0和针对Linux的版本5.6.1解决的问题。用户可以通过应用当前更新或下载具有所有当前安全更新的最新Keybase软件来帮助确保自己的安全。”发言人说。

在大多数情况下，删除文件后从缓存中删除文件失败将被视为“低优先级”安全漏洞。然而，杰克逊写道，在诸如Keybase之类的端到端加密通信应用程序的背景下，这种失败变得更加沉重。

“访问受害机器的攻击者有可能通过收集的照片获得敏感数据，特别是如果用户频繁使用Keybase的情况下。用户认为自己发送的照片可以稍后清除，因此可能不会意识到未从缓存中清除发送的照片，并且可能会将PII的照片或其他敏感数据发送给朋友或同事。”

鉴于最近有数百万的互联网用户逃往Keybase，Signal和Telegram等端对端加密消息应用程序，因此该漏洞的负担更加严重。这些用户对繁重的数据共享政策做出了回应，例如最近在Facebook的WhatsApp聊天中引入的那些政策。在拥有压迫性的专制政府的国家中，端到端的加密消息传递应用程序是政治异见者和人权倡导者的生命线。

但是，由于存在此漏洞，获得安装了Keybase应用程序的便携式计算机或台式机访问权限的攻击者可以查看Keybase加密聊天中包含的任何图像。其含义很明显。例如，最近的报道说，朝鲜国家黑客通过通过Keybase，Signal和其他加密应用程序发送的网络钓鱼攻击，已经将安全研究人员作为攻击目标。

杰克逊说，Keybase中的缺陷不会影响Zoom应用程序。 Zoom于5月份收购了Keybase，以通过端到端加密来增强公司的视频平台。这次收购是在有关Zoom客户端安全漏洞的报告之后进行的，包括其会议中聊天功能的报告。

杰克逊说，樱花武士队的研究人员从Zoom那里获得了1,000美元的赏金，用于他们的研究。他认为该公司“非常响应”该组织的漏洞报告。

加密消息传递应用程序的使用越来越广泛，也引起了安全研究人员的注意。例如，上周，一位研究人员披露了Telegram安全消息传递应用程序中的13个漏洞，这些漏洞可能允许远程攻击者入侵任何Telegram用户。这些问题已在2020年9月和10月发布的电报更新中进行了修补。